Решена Вирус майнер Realtek HD, AMD.exe, троян rdpwrap.dll, скрипт winlogon.bat, script.bat

  • Автор темы Автор темы csid
  • Дата начала Дата начала

csid

Новый пользователь
Сообщения
6
Реакции
1
Часть удалил DrWeb'ом, но основное кол-во вирусов осталось и Dr.Web остальное не видел. Создался новый пользователь - John. Запустил KVRT с live usb и удалил остаток, но подозрения остались. Помогите плиз. Вот логи FRST и HijackThis
 

Вложения

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). При ошибке измените также место запуска программы (не Рабочий стол или папка Загрузки, а любая другая папка).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
 
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 26 PPAPI
Chromium-Gost

"Пофиксите" в HijackThis только следующие строки:
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
Перезагрузите компьютер.

Дополнительно удалите старые и соберите новые логи Farbar FRST.txt и Addition.txt
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    C:\Users\Пользователь\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
    CHR HKU\S-1-5-21-1744791306-432877012-2007346319-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
    2023-05-25 16:17 - 2023-05-25 16:17 - 000000000 __SHD C:\ProgramData\princeton-produce
    2023-05-25 16:17 - 2023-05-25 16:17 - 000000000 __SHD C:\Program Files\RogueKiller
    AV: Dr.Web Anti-virus (Enabled - Up to date) {A73F5931-44B0-E90A-30EC-125D9F51EA9F}
    AV: Dr.Web Anti-virus (Enabled - Up to date) {1F0B3F76-4795-94AD-DF9E-2678C33ACA8F}
    AV: Dr.Web Anti-virus (Enabled - Out of date) {43B072E9-61D5-D2DF-0530-CE16F6F72D60}
    FirewallRules: [{7EFD45CB-E3AB-49BB-AA60-DB107C17CD49}] => (Allow) LPort=53030
    FirewallRules: [{1A050CF9-4A81-44BF-889E-9DF03A0B7546}] => (Allow) LPort=5432
    cmd: ECHO Y|CHKDSK C: /F
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущена проверка системного диска на ошибки, не прерывайте.

Подробнее читайте в этом руководстве.
 
Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.20.2.34 v.3.20.2.34 Внимание! Скачать обновления
Foxit Reader v.9.4.1.16828 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
TeamViewer v.15.29.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления
Far Manager 3 x64 v.3.0.4455 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Viber v.12.8.1.20 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 98.0.4759.39 v.98.0.4759.39 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Спутник v.4.5.4512.0 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.12 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО
 
Назад
Сверху Снизу