Здравейте.

 

Нужна ми е помощ за справяне с TR/Crypt.XPACK.Gen.

 

Направи ми впечатление, че Avira free antivirus засича този троянец, когато стартирам някой изпълним файл. Тоест, когато инсталирам някоя програма този троянец се появява и се опитва да се интегрира в инсталационните файлове.

 

Свалих Visual Studio 2017 от официалния сайт на Microsoft. Щом започнах да го инсталирам, Avira започна да засича TR/Crypt.XPACK.Gen3

 

След това потърсих информация в нета за този троянец. Попаднах на този сайт: https://malwaretips.com/blogs/remove-trcrypt-xpack-gen/

, където препоръчват да се инсталират следните програми: Malwarebytes, HitmanPro и Zemana AntiMalware.

 

Изтеглих Malwarebytes от официалния им сайт. И отново щом започна инсталирането, Avira засече TR/Crypt.XPACK.Gen2

 

Когато сканирам компютъра с Avira free antivirus, тя не открива нищо. Авирата ми е стара версия.

 

Преди време отново по същия начин се случваха нещата само, че при инсталирането на други програми. Тогава не обърнах внимание. Сега обаче почвам да си мисля, че този троянец е час от някоя по-голяма зловредна гадина, която се спотайва на компютъра ми и чака някое .exe за да задейства този троянец.

 

Другото подозрително нещо е, че компютърът ми на два пъти сам се включва. От напълно изключено положение виждам как започват да се въртят вентилаторите на кутията. Екрана на монитора обаче стой черен. Въртяха няколко минути и угаснаха.

 

 

 

FRST.txt Addition.txt

преди 45 минути, Peace_Man написа:

Когато сканирам компютъра с Avira free antivirus, тя не открива нищо. Авирата ми е стара версия.

Здравейте..! Аз мисля че точно това е проблем ..! Деинсталирайте Avira free antivirus по метода описан в следващата връзка:

Деинсталиране на програми с помощта на Revo Uninstaller Free Portable

• Изтеглете Revo Uninstaller Free Portable и го запазете на вашия работен плот
• Щракнете с десния бутон върху папката и изберете Extract All ..., след което щракнете върху Extract
• Щракнете двукратно върху папката RevoUninstaller-Portable
• Щракнете с десния бутон върху RevoUPort и изберете Изпълни като администратор (Run as administrator)
• Щракнете върху OK върху лицензионното споразумение
• От списъка с програми щракнете двукратно върху изброените програми или други подобни, за да го премахнете (ако съществува):

HitmanPro 3.8
Zemana AntiMalware
Avira Free Antivirus

• Ако се появи деинсталаторът на програмата, изпълнете стъпките за премахване на програмата (ите)
• Уверете се, че е избрана опцията Разширени (Advanced), след което щракнете върху Сканиране (Scan)
• За всеки прозорец, който може да се появи, идентифициращ останалите елементи, щракнете върху Избери всички, Изтрий (Select All, Delete), след което потвърдете изтриването
• След като приключите, щракнете върху Готово (Finish)
• Рестартирайте компютъра

 

След това:

 

Сканиране с Malwarebytes Anti-Malware (MBAM)

• Ако вече имате инсталиран Malwarebytes, отворете Malwarebytes и кликнете върху бутона Сканиране. Той автоматично ще провери за актуализации и ще стартира сканиране на заплахи.
• Ако все още нямате инсталиран Malwarebytes, моля, изтеглете го от тук и го инсталирайте..... !
• След като инсталирате, отворете Malwarebytes и изберете Сканиране и го оставете да работи....!
• След като сканирането приключи, уверете се, че сте поставили под карантина на всички открити обекти
• Ако не са открити никакви заплахи, щракнете върху падащото меню Запазване на резултатите, след това бутона Експортиране в TXT и запазете файла като текстов файл на работния плот или на друго място, което можете да намерите и прикачите  този дневник при следващия си отговор.
• Ако е имало засечени заплахи, след като карантината приключи, щракнете върху бутона Преглед на отчета, След това щракнете върху падащото меню Експортиране, след това бутона Експортиране в TXT и запазете файла като текстов файл на вашия работен плот или друго място, което можете да намерите и Прикачете този дневник към следващия си отговор.
• Ако компютърът се рестартира на етап карантиниране, можете да получите достъп до регистрационните файлове от историята на откриване, а след това раздела История. Маркирайте най-новото сканиране и щракнете двукратно, за да го отворите. След това щракнете върху падащото меню Експортиране, след това върху бутона Експортиране в TXT и запазете файла като текстов файл на вашия работен плот или на друго място, което можете да намерите и прикачите към този дневник при следващия си отговор.

+

Сканиране с TDSSKiller
 

Моля, изтеглете последната версия на TDSSKiller от тук и я запазете на вашия декстоп (задължително).

• Кликнете на TDSSKiller.exe за да стартирате приложението
• Натиснете бутона Start Scan.
•  Не използвайте компютъра по време на сканирането
•  Ако сканирането завърши с нищо не е намерено, щракнете върху Затвори, за да излезете.
• Проверката не би трябвало да отмене повече от 2 минути.
• Ако подозрителен обект бъде засечен, действието по подразбиране ще бъде Skip, кликнете върху Continue.
• Ако зловредни обекти бъдат намерени, тогава от падащото меню ще имате три възможности.
  Бъдете сигурни, че избраното действие е Cure и натиснете върху Continue >Рестартирайте за да бъде завършена поправката.
  
  Забележка: Ако Cure бутона не е наличен от възможностите, тогава моля изберете Skip бутона, не избирайте Delete освен ако не сте инструктирани затова.

Лог файл ще бъде създаден в свободната директория на дял 😄 . Потърсете за лог с името "TDSSKiller.[Version]_[Date]_[Time]_log.txt" и копирайте съдържанието му в следващия си пост.

+

FRST сканиране

    Щракнете двукратно върху FRST.exe / FRST64.exe, за да го стартирате.
    Натиснете бутона за  сканиране.
    Когато приключи, той ще създаде  два лог файла с името FRST.txt и Addition.txt, в същата директория, от която е стартиран инструментът.
    Моля, копирайте и поставете двата файла в следващия си отговор.

Много благодаря за бързата реакция.

Деинсталирах успешно указаните програми с помощта на Revo .

Прикачвам поисканите файлове.

FRST.txt Addition.txt Malwarebytes.txt TDSSKiller.3.1.0.28_24.02.2022_21.08.42_log.txt

....и в четирите дневника няма индикации за зловреден софтуер..!  

 

 

Фикс с Farbar Recovery Scan Tool

• Щракнете с десния бутон върху иконата FRST и изберете Изпълнете като администратор
• Маркирайте  информацията от карето по долу , след което натиснете клавишите Ctrl + C едновременно и текстът ще бъде копиран
• Няма нужда да поставяте информацията , FRST ще я направи вместо вас

Start::
CreateRestorePoint:
CloseProcesses:
S1 amsdk; \??\C:\Windows\system32\drivers\amsdk.sys [X]
S3 RtlWlanu; \SystemRoot\system32\DRIVERS\rtwlanu.sys [X]
2022-02-12 13:05 - 2022-02-24 20:29 - 012216461 _____ C:\Windows\ZAM.krnl.trace
CMD: ipconfig /flushDNS
EmptyTemp:
End::

 

• ЗАБЕЛЕЖКА: Този скрипт е написан специално за този потребител,и за тази конкретна машина. Изпълнението на фикса, на друг компютър може да доведе до увреждане на  операционната ви система

  Следните директории се изпразват:

• Windows Temp
• Users Temp folders
• Edge, IE, FF, Chrome and Opera caches, HTML5 storages, Cookies and History
• Recently opened files cache
• Flash Player cache
• Java cache
• Steam HTML cache
• Explorer thumbnail and icon cache
• BITS transfer queue (qmgr*.dat files)
• Recycle Bin

 

Натиснете бутона Fix само веднъж и изчакайте.
 

Забележка:    Не е необходимо да поставяте скрипта в FRST .
Рестартирайте компютъра, ако бъдете подканени.
Когато поправката е завършена, FRST ще генерира дневник на същото място, от което е стартиран (Fixlog.txt)
Моля, копирайте и поставете съдържанието му във вашия отговор.

 

Сканиране с AdwCleaner (режим на сканиране (Scan mode)

Изтеглете AdwCleaner и го запазете на вашия работен плот.

• Щракнете двукратно върху AdwCleaner.exe, за да го стартирате.
• Щракнете върху Сканиране сега (Scan Now)
• Когато сканирането приключи, ще се отвори прозорец с резултати от сканиране.
• Щракнете върху Отказ ( Cancel) (в този момент не се опитвайте да поставите под карантина нищо, което е намерено)
• Сега щракнете върху раздела Log Files.
• Щракнете двукратно върху последния дневник за сканиране (регистрационните файлове за сканиране имат префикс [S0*], където * се заменя с число. Последното сканиране ще има най-голямо число)
• Ще се отвори файл на Notepad, съдържащ резултатите от сканирането.

Моля, публикувайте съдържанието на файла в следващия си отговор.

 

 

Прикачвам двата файла.

Fixlog.txt AdwCleaner[S00].txt

Всичко е чисто..! Може да си инсталирате вече по ваше желание антивирусна програма..! Ако предпочитате да е Avira:

Download Avira Free Security | Avira

Лично моята препоръка е ..ако се ориентирате към безплатния сегмент е да се спрете на Kaspersky Free Antivirus – Free Cloud Security for all Devices | Kaspersky  (Преди да натиснете бутона Download от падащото меню изберете The European Union ).

Да премахнем  инструментите които използвахме във проверката..:

KpRm 
 
Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_ (версия) .exe и изберете Изпълни като администратор. 
• Когато инструментът се отвори, уверете се, че всички квадратчета са отметнати и изберете Изпълни ( Run ).

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори журнал, озаглавен kprm- (date) .txt. 
• Моля, копирайте и поставете съдържанието му в следващия си отговор.

 

Моля да ме извините но допуснах грешка. Вместо да маркирам всичко в раздел Customized, маркирах всичко в Automatic.

Благодаря за препоръката относно антивирусната. Ще се вслушам в съвета ви за Kaspersky.

kprm-20220225114715.txt

преди 9 минути, Peace_Man написа:

Моля да ме извините но допуснах грешка. Вместо да маркирам всичко в раздел Customized, маркирах всичко в Automatic.

 

Няма проблем..! Дневникът показва че всичко е наред..! Предлагам да поработите и да тествате няколко дни как ще се държи компютъра ви.. Ако забележите нещо което ви притеснява пишете..! За сега ви пожелавам приятен ден..!

 

преди 12 минути, Peace_Man написа:

Ще се вслушам в съвета ви за Kaspersky.

Добър избор..! Когато го инсталирате направете една пълна  проверка на системата  с него ..и пишете за резултата ..! 

п.п.Пропуснах да ви кажа че за да се активира програмата ще е необходимо да си създадете безплатен акаунт:

My Kaspersky | Добро пожаловать

Здравейте..!  Моля, уведомете ни какво се случва при вас с вашата система за да мога да маркирам темата...?!? Благодаря..!

За съжаление няма обратна връзка с автора на темата ..Типично по български...! Темата се приключва и затваря ..!