[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe');
 QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');
 QuarantineFile('C:\ProgramData\presepuesto\LEAJ.exe', '');
 QuarantineFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '');
 QuarantineFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');
 QuarantineFileF('C:\Users\Данил\AppData\Local\Temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-4061180388-1244058595-1494617467-1001');
 DeleteSchedulerTask('kiiwijandpqceppji.exe');
 DeleteSchedulerTask('LEAJ');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');
 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');
 DeleteFile('C:\ProgramData\presepuesto\LEAJ.exe', '64');
 DeleteFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '64');
 DeleteFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');
 DeleteFile('C:\Users\Данил\AppData\Local\Temp\kiiwijandpqceppji.exe', '64');
 DeleteFileMask('C:\Users\Данил\AppData\Local\Temp\', '*', true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

[FlowErics0n]

Здравствуйте, отослал вам на почту quarantine.7z. Сюда прикрепляю повторный лог.CollectionLog-2023.09.11-18.01.zip

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

 begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','');
 QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','');
 QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','');
 DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','32');
 DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','32');
 DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','64');
 DeleteSchedulerTask('ProactiveScan');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[FlowErics0n]

Здравствуйте, был в командировке. Вот FRST.TXT И ADDITION.Txt, q[ATTACH]Addition.txt[/ATTACH]uarantine.7z отправил вам по форме

[FlowErics0n]

Здравствуйте, отправил вам quarantine.7z по форме, прикрепляю сюда FRST и Addition. Извиняюсь что долго не отвечал, отсутствовал из пк. FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  Startup: C:\Users\Данил\AppData\Local\Temp\\117b9921-fec9-44fd-b24a-d76feabb61eb.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\1E60447A-56890C16-259C4273-6CE10850 []
  Startup: C:\Users\Данил\AppData\Local\Temp\\347b6f84-eece-4259-9032-87e267a80af7.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\48295c9a-fccd-446e-8d0e-6ee94846e619.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\4af3d223-ae32-4204-b1dc-9a6d634ebb36.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\653668cc-f19e-4ab6-b8d8-0a8c0cc4e8e3.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\7a04c50b-d28f-41f3-841c-55744765d2e0.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\ac113dfc-0947-4ec5-a846-f96777c4de4e.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\af84b976-564c-4a30-a9cc-17f99b8ed637.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\c543b2b6-f21d-4428-b377-1b049ce7b61f.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\c7abb1a0-daa3-4694-a2e2-597e2a48746a.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\d7864817-2562-47e2-b4f7-3e4cd02c2acd.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\d929e48a-a351-476b-a45b-52c96eab15b1.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601.log [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_000_vcRuntimeMinimum_x64.log [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_001_vcRuntimeAdditional_x64.log [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212606.log [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\de11d0aa-0e20-4cf2-b485-d7b7de4479b9.tmp [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\E9F8DC40-9D83-4F9B-A469-DB34880AB4B5.Diagnose.Admin.0.etl [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-1-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-2-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-3-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-4-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-5-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
  Startup: C:\Users\Данил\AppData\Local\Temp\\RarSFX0 []
  Startup: C:\Users\Данил\AppData\Local\Temp\\scoped_dir9896_546502781 []
  Startup: C:\Users\Данил\AppData\Local\Temp\\Turn10Temp.scratch []
  Startup: C:\Users\Данил\AppData\Local\Temp\\UTPS []
  Startup: C:\Users\Данил\AppData\Local\Temp\\UTPSInstall.log [] () [Файл не подписан]
  Startup: C:\Users\Данил\AppData\Local\Temp\\yandex_browser_updater.log [] () [Файл не подписан]
  Task: {74477C02-D3AF-4FAD-A29B-AF5EBAAF7A36} - \profiles-preserve -> Нет файла <==== ВНИМАНИЕ
  C:\Users\Данил\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\...\{a70eb8c9-1fe8-46ac-ba86-c73ed99c12c1}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [684]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [684]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [684]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [684]
  AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [3442]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [684]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3442]
  AlternateDataStreams: C:\Users\Данил\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Данил\Application Data:NT2 [684]
  AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT2 [684]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Доустановите недостающие драйверы.

[FlowErics0n]

здравствуйте, куда вводить этот код, запутался(

[Sandor]

Действуйте как написано:
- выделите код
- скопируйте
- запустите FRST64.exe
- нажмите "Исправить"

Скрипт будет выполнен из буфера обмена (вставлять никуда не нужно).

[FlowErics0n]

Здравствуйте, разобрался. Скидываю сюда fixlog.txt Fixlog.txt