Решена trojan.multi.lockedfolder.a - второй ПК

[Максим 1]

Здраствуйте.
trojan.multi.lockedfolder.a realtekHD taskhostw и прочее, подмена файла hosts, KVRT и Cureit не помогают


сделал логи

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Максим 1]

готово

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\Policies\Explorer: [] 
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: G - G:\VELAN.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: H - H:\SISetup.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: L - L:\SISetup.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {0f1c627f-5ffd-11ed-b4cd-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {1021822c-08ce-11ec-a2be-60a44c3fc6b2} - K:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {2a80e645-8add-11eb-91c2-000a94186a04} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {338fa533-49fb-11ed-abb5-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {5fbccbaf-324e-11ec-b93d-60a44c3fc6b2} - K:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {637149a0-bc8a-11ec-84ff-60a44c3fc6b2} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {71697bc4-fff3-11eb-bbd9-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {a64510c6-8ed8-11eb-b939-000a94186a04} - G:\AutoRun.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {a86fa001-04b5-11ec-bc2e-60a44c3fc6b2} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {aeec68fe-6c8b-11ed-9f9f-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {be6aa500-a4e6-11eb-9355-60a44c3fc6b2} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {c37e593d-c826-11eb-8835-60a44c3fc6b2} - 华为手机助手安装向导.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {cde5d544-6ee9-11ed-857f-60a44c3fc6b2} - G:\SecureDrive.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {dbd88a38-0d05-11ed-958c-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {e3f0b852-3d14-11eb-9925-000a94186a04} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {fbe64a85-9e10-11ed-afa1-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {180ABD54-C6F4-47D2-8BED-220A72408E4E} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
  Task: {6B47E935-A57C-4036-AAC2-7D34FDA2421C} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
  Task: {7773E58A-7AF2-4B59-B593-8D89AD6B4DFE} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
  Task: {C09F218D-D4F4-48A1-A6A4-B689BF7B9F6C} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
  Task: {D14C73F6-ECF1-47DD-9405-8722A8E66405} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
  Task: {E9603E97-1235-4DD7-B5B1-4CA79565FF8D} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
  FirewallRules: [TCP Query User{CB7D1B37-5EC1-4D1B-886A-95EBA4C08266}D:\игры\raft\raft.exe] => (Allow) D:\игры\raft\raft.exe => Нет файла
  FirewallRules: [UDP Query User{AA93358C-99D4-4777-AA30-9815B24D1CDA}D:\игры\raft\raft.exe] => (Allow) D:\игры\raft\raft.exe => Нет файла
  FirewallRules: [TCP Query User{DFD223F2-9E89-44C9-8244-3AEA2A2FD66E}D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
  FirewallRules: [UDP Query User{4382347E-8E4D-46B0-9185-C9ED26CB86B8}D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
  FirewallRules: [TCP Query User{6ABFA492-EC79-4CD2-BA80-809432BC0EF4}D:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) D:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
  FirewallRules: [UDP Query User{4F4AFE11-4FC7-4870-B90B-A8FC1BF69EC2}D:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) D:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
  FirewallRules: [{D4F41171-03B4-4BA9-A67D-8DDAF29F1E7A}] => (Allow) C:\Users\Полиграфия\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
  FirewallRules: [{2FB1969D-D1D2-426D-9FF8-779EF3D85532}] => (Allow) C:\Users\Полиграфия\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Максим 1]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\Policies\Explorer: []
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: G - G:\VELAN.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: H - H:\SISetup.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: L - L:\SISetup.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {0f1c627f-5ffd-11ed-b4cd-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {1021822c-08ce-11ec-a2be-60a44c3fc6b2} - K:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {2a80e645-8add-11eb-91c2-000a94186a04} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {338fa533-49fb-11ed-abb5-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {5fbccbaf-324e-11ec-b93d-60a44c3fc6b2} - K:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {637149a0-bc8a-11ec-84ff-60a44c3fc6b2} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {71697bc4-fff3-11eb-bbd9-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {a64510c6-8ed8-11eb-b939-000a94186a04} - G:\AutoRun.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {a86fa001-04b5-11ec-bc2e-60a44c3fc6b2} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {aeec68fe-6c8b-11ed-9f9f-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {be6aa500-a4e6-11eb-9355-60a44c3fc6b2} - H:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {c37e593d-c826-11eb-8835-60a44c3fc6b2} - 华为手机助手安装向导.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {cde5d544-6ee9-11ed-857f-60a44c3fc6b2} - G:\SecureDrive.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {dbd88a38-0d05-11ed-958c-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {e3f0b852-3d14-11eb-9925-000a94186a04} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2753159264-2670567792-2299023142-1000\...\MountPoints2: {fbe64a85-9e10-11ed-afa1-60a44c3fc6b2} - G:\HiSuiteDownLoader.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {180ABD54-C6F4-47D2-8BED-220A72408E4E} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
  Task: {6B47E935-A57C-4036-AAC2-7D34FDA2421C} - \KMSAuto -> Нет файла <==== ВНИМАНИЕ
  Task: {7773E58A-7AF2-4B59-B593-8D89AD6B4DFE} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
  Task: {C09F218D-D4F4-48A1-A6A4-B689BF7B9F6C} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
  Task: {D14C73F6-ECF1-47DD-9405-8722A8E66405} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
  Task: {E9603E97-1235-4DD7-B5B1-4CA79565FF8D} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
  FirewallRules: [TCP Query User{CB7D1B37-5EC1-4D1B-886A-95EBA4C08266}D:\игры\raft\raft.exe] => (Allow) D:\игры\raft\raft.exe => Нет файла
  FirewallRules: [UDP Query User{AA93358C-99D4-4777-AA30-9815B24D1CDA}D:\игры\raft\raft.exe] => (Allow) D:\игры\raft\raft.exe => Нет файла
  FirewallRules: [TCP Query User{DFD223F2-9E89-44C9-8244-3AEA2A2FD66E}D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
  FirewallRules: [UDP Query User{4382347E-8E4D-46B0-9185-C9ED26CB86B8}D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe] => (Allow) D:\games\kingdom come deliverance\bin\win64\kingdomcome.exe => Нет файла
  FirewallRules: [TCP Query User{6ABFA492-EC79-4CD2-BA80-809432BC0EF4}D:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) D:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
  FirewallRules: [UDP Query User{4F4AFE11-4FC7-4870-B90B-A8FC1BF69EC2}D:\games\anno 1800\bin\win64\anno1800.exe] => (Allow) D:\games\anno 1800\bin\win64\anno1800.exe => Нет файла
  FirewallRules: [{D4F41171-03B4-4BA9-A67D-8DDAF29F1E7A}] => (Allow) C:\Users\Полиграфия\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
  FirewallRules: [{2FB1969D-D1D2-426D-9FF8-779EF3D85532}] => (Allow) C:\Users\Полиграфия\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

готово

 

[akok]

что с симтомами?

 

[Максим 1]

спасибо всё ок

 

[akok]

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.