!!_Вирус MSIL/Injector.ULC - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 20.10.2020

Размещено 22.10.2020 18:14:59

Здравствуйте! Помогите пожалуйста с проблемой. Не можем удалить вышеназванный вирус, после запуска диспетчера задач антивирусник даёт такое уведомление, но после перезагрузки проблема не исчезает. В диспетчере задач весь ЦП занимает процесс Блокнота.

Программы типа Hitman Pro нашли и очистили какой-то троян, но уведомление продолжает появляться.

Изменено: Ludmila Kovaleva - 22.10.2020 18:58:10

Сообщений: 6219

Баллов: 4975

Регистрация: 25.05.2010

Размещено 22.10.2020 19:04:36

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 5

Баллов: 2

Регистрация: 20.10.2020

Размещено 23.10.2020 07:49:57

Создали образ автозапуска в uVS:

Прикрепленные файлы

DESKTOP-HBGJNK6_2020-10-20_16-42-45_v4.11.7z (847.56 КБ)

Сообщений: 6219

Баллов: 4975

Регистрация: 25.05.2010

Размещено 23.10.2020 12:41:16

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE regt 26 regt 38 deltmp restart ;---------command-block--------- delall %SystemDrive%\USERS\ANDREY\APPDATA\ROAMING\MICROSOFT\FREETP\FREETPORG.DLL delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILESYNCSHELL.DLL delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.1.7.2905\WOW64\YANDEXDISK3SHELLEXT-1511.DLL delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref F:\GAMESEZ\WAR 3 - 1.29\WARCRAFT PTR\BLIZZARD.AX delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILECOAUTH.EXE delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.19350.3\X86\MICROSOFT.TEAMS.ADDINLOADER.DLL delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILECOAUTHLIB.DLL delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\PROGRAMS\OPERA\63.0.3368.94\NOTIFICATION_HELPER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.423\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL delref %Sys32%\MSMIRADISP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE delref %SystemDrive%\PROGRA~2\AIMP3\AIMP3.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.423\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVENCMFTH264.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVDECMFTMJPEG.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVENCMFTHEVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\GOOGLEUPDATEBROKER.EXE delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\OSCAR EDITOR X7\OSCAREDITOR.EXE delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\CCLEANER BROWSER\APPLICATION\CCLEANERBROWSER.EXE apply

Код


;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 26
regt 38
deltmp
restart
;---------command-block---------
delall %SystemDrive%\USERS\ANDREY\APPDATA\ROAMING\MICROSOFT\FREETP\FREETPORG.DLL
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.1.7.2905\WOW64\YANDEXDISK3SHELLEXT-1511.DLL
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref F:\GAMESEZ\WAR 3 - 1.29\WARCRAFT PTR\BLIZZARD.AX
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.19350.3\X86\MICROSOFT.TEAMS.ADDINLOADER.DLL
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.152.0801.0008\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\PROGRAMS\OPERA\63.0.3368.94\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.423\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\PROGRA~2\AIMP3\AIMP3.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.423\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVENCMFTH264.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_93EFF437A314841A\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OSCAR EDITOR X7\OSCAREDITOR.EXE
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\CCLEANER BROWSER\APPLICATION\CCLEANERBROWSER.EXE
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Изменено: RP55 RP55 - 23.10.2020 13:22:15

Сообщений: 5

Баллов: 2

Регистрация: 20.10.2020

Размещено 23.10.2020 14:06:25

Спасибо вам большое, что решили эту проблему!
Вот последний отчёт -

Прикрепленные файлы

malwarebytes.txt (6.55 КБ)

Сообщений: 6219

Баллов: 4975

Регистрация: 25.05.2010

Размещено 23.10.2020 14:19:26

В Malwarebytes можно удалить ( поместите в карантин ) только:
PUP.Optional.MailRu, C:\USERS\ANDREY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, 8908, 454830, 1.0.31862, , ame, , 5EA4F3B80C0C546B83508D58520C3E51, 1CFA6CD54F1DD9BCFEE9D89F5B1C19CE124791A4CCD72070396A439B64B76823
--------
Обычно на завершающем этапе мы дополнительно очищаем систему в FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 17905

Баллов: 28647

Регистрация: 16.03.2010

Размещено 23.10.2020 15:36:56

нужен новый образ автозапуска для контроля:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [6152], tid=7868
поскольку обнаружены потоки в легальном файле notepad.exe

хотя возможно через этот модуль внедрялись потоки в notepad
rundll32.exe C:\Users\Andrey\AppData\Roaming\Microsoft\freetp\freetporg.dll,UpdateService
MSIL/Agent.TPR [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-03-07

подобные трюк уже были ранее на форумах.
здесь подробнее описано
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

возможно, что данная dll (freetporg.dll) извлечена из реестра, так же как и WindowsDiagnostics.dll в предыдущем случае

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 20.10.2020

Размещено 23.10.2020 22:03:46

Итоги финального осмотра

Прикрепленные файлы

Addition.txt (80.46 КБ)
FRST.txt (48.44 КБ)

Изменено: Ludmila Kovaleva - 23.10.2020 22:05:09

Сообщений: 6219

Баллов: 4975

Регистрация: 25.05.2010

Размещено 23.10.2020 22:42:38

Чисто.
Если не используете программу Java _обязательно удалите, если используете обновите.
Выполните и другие рекомендации: https://forum.esetnod32.ru/forum9/topic13764/
Для очистки от мусора:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
HKU\S-1-5-21-118766506-296577714-2226000002-1001\...\MountPoints2: {7685e56f-93ff-11e9-9041-806e6f6e6963} - "E:\AutoRun.exe" GroupPolicy: Restriction ? <==== ATTENTION HKU\S-1-5-21-118766506-296577714-2226000002-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION Task: {16DEA092-FB0C-40D0-AE20-0536BECC21D9} - \Microsoft\Windows\EDP\EDP App Launch Task -> No File <==== ATTENTION Task: {1B65DD58-D16B-45E8-BEB4-94D7E4D64DF7} - \Microsoft\Windows\EDP\EDP Auth Task -> No File <==== ATTENTION EmptyTemp: Reboot:

Код

  

HKU\S-1-5-21-118766506-296577714-2226000002-1001\...\MountPoints2: {7685e56f-93ff-11e9-9041-806e6f6e6963} - "E:\AutoRun.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
HKU\S-1-5-21-118766506-296577714-2226000002-1001\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {16DEA092-FB0C-40D0-AE20-0536BECC21D9} - \Microsoft\Windows\EDP\EDP App Launch Task -> No File <==== ATTENTION
Task: {1B65DD58-D16B-45E8-BEB4-94D7E4D64DF7} - \Microsoft\Windows\EDP\EDP Auth Task -> No File <==== ATTENTION


EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.

Сообщений: 5

Баллов: 2

Регистрация: 20.10.2020

Размещено 24.10.2020 09:05:11

Система работает отлично, спасибо за качественное удаление вируса, который не смогли удалить специальные программы!

Прикрепленные файлы

Fixlog.txt (2.74 КБ)

[ Закрыто ] !!_Вирус MSIL/Injector.ULC , Удаление вируса MSIL/Injector.ULC