Здравейте,

Търсих даден плъгин за AfterEffects. Попаднах на клип в YouTube, който изглеждаше супер. Цъкнах върху линк за изтегляне и го изтеглих. Стартирах файла и тогава Windows-a се развика, че има заплаха. Видях, че става на въпрос за Trojan. Засече няколко заплахи и след това ги „карантинира“. Две от тях ги блокира. Многократно след това правих Quick Scan-ове, които нищо не откриха. Междувременно изтеглих и Malwarebytes, който откри единствено инсталационния файл на UTorrent като единствена заплаха.

файловете от програмката FRST64

Addition.txt FRST.txt

Здравейте,

Малко по-късно ще я погледна, защото днес имам много служебни ангажименти. На бърз поглед обаче се вижда, че има нещо не както трябва:

Startup: C:\Users\Owner\AppData\Local\Temp\5ab67e9dae\\wfyoot.exe [2022-08-09] (Installer Project) [File not signed]

Task: {F43B1D6B-3586-4295-B5DA-9466B9A5FB4D} - System32\Tasks\wfyoot.exe => C:\Users\Owner\AppData\Local\Temp\5ab67e9dae\wfyoot.exe [734003200 2022-08-09] (Installer Project) [File not signed] <==== ATTENTION

Гледам в Addition.txt че всички открити зарази от Windows Defender са именно тръгнали от този файл. Нека да го изтрием.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

След това направете нова проверка с инструмента с бутона SCAN и прикачете новите резултати.

Поздрави!

 

преди 6 часа, B-boy/StyLe/ написа:

Здравейте,

Малко по-късно ще я погледна, защото днес имам много служебни ангажименти. На бърз поглед обаче се вижда, че има нещо не както трябва:

Startup: C:\Users\Owner\AppData\Local\Temp\5ab67e9dae\\wfyoot.exe [2022-08-09] (Installer Project) [File not signed]

Task: {F43B1D6B-3586-4295-B5DA-9466B9A5FB4D} - System32\Tasks\wfyoot.exe => C:\Users\Owner\AppData\Local\Temp\5ab67e9dae\wfyoot.exe [734003200 2022-08-09] (Installer Project) [File not signed] <==== ATTENTION

Гледам в Addition.txt че всички открити зарази от Windows Defender са именно тръгнали от този файл. Нека да го изтрием.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

След това направете нова проверка с инструмента с бутона SCAN и прикачете новите резултати.

Поздрави!

 

Първо искам да благодаря за реакцията. Изпълних всичко, което казахте. Прикачвам новите файлове. Как да действам нататък?

Addition.txt Fixlog.txt FRST.txt

Здравейте,

Според лог файловете, заразата се е изтрила успешно. Може ли да архивирате папката C:\FRST\Quarantine и да качите архива на следния адрес:

https://dox.abv.bg/

След това публикувайте линк към нея в следващия си пост. После можете да изтриете създадения архив и папката C:\FRST\Quarantine (но Quarantine, а не цялата C:\FRST). Последната ще я изтрием като приключим с почистването.

Новите лог файлове ще ги разгледам след 17:00, защото още съм на работа, а искам да им обърна по-голямо внимание, което не може да се случи в момента.

До след малко!

Поздрави!

Линк към архива на Quarantine:
https://dox.abv.bg/download?id=d80b10dec9# - Линк за сваляне

Благодаря за папката. Явно е нов щам и ще го дам в темата за подпомагането на антивирусните за да го добавят в дефинициите си:

https://www.virustotal.com/gui/file/0dd6597e875d5c3dd5e79236b546ee26b185b1a4bb803aa368daf1e2470e2be5?nocache=1

Интересно, че според VirusTotal не се засича от Dr.Web, но всъщност имат цяла статия за него:

https://vms.drweb.com/virus/?i=25326719

Досега никога не бях се срещал с вируси. А сега като взех нова машина... на третия ден. Надявам се всичко да е поправимо.

преди 2 минути, gerasimoooo написа:

Досега никога не бях се срещал с вируси. А сега като взех нова машина... на третия ден. Надявам се всичко да е поправимо.

Поправимо е при вас за щастие. Според статията на Dr.Web сме го почистили, а Windows Defender е почистил другата половина. Все пак ще пиша след малко като прегледам пак логовете. Трябва да се внимава с тези плъгини от Warez сайтовете. Има и читави такива сайтове, но повечето са си в сивата зона и отвъд дори.

Привет,

Всичко изглежда наред. Има само няколко неактивни остатъци, които искам да премахнем и приключваме:

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (на десктопа).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Поздрави!

 

 

Изпълних fixlist-а. Прикачвам fixlog-a.
Поздрави 

Fixlog.txt

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Поздрави и спокойна седмица!

 

Имам въпросче: Трябва да маркирам всички квадратчета без това пред Delete in 7 days, нали? Питам защото на снимката нищо не е показано да е маркирано.

току-що, gerasimoooo написа:

Имам въпросче: Трябва да маркирам всички квадратчета без това пред Delete in 7 days, нали? Питам защото на снимката нищо не е показано да е маркирано.

Да, точно така. Всички квадратчета без "Delete in 7 days". Снимката в инструкциите ще бъде обновена тези дни за да е актуална.

Поздрави!

Ето log файла на KpRm.
 

# Run at 9/12/2022 6:23:28 PM
# KpRm (Kernel-panik) version 2.9.3
# Website https://kernel-panik.me/tool/kprm/
# Run by Owner from C:\Users\Owner\Desktop
# Computer Name: DESKTOP-RK62D2K
# OS: Windows 10 X64 (19044) 
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines

- Create Registry Backup -

   ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\Owner\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2022-09-12-18-23-28

- Delete Tools -

     [I] No tools found

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Програма за инсталиране на модули за Windows created at 09/11/2022 17:51:11 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ [I] RP named KpRm created at 09/12/2022 15:23:36

-- KPRM finished in 16.83s --

 

Трябва ли да деинсталирам KpRm и как точно?

А иначе, искам да Ви благодаря сърдечно, затова че ми помогнахте и то в такъв кратък срок.👏

Привет,

Не, при KPRM не се изисква деинсталация. Можете просто да изтриете файла заедно с прилежащия към него лог файл.

Ами това е от мен. Един съвет само. Този път се разминахте леко. Бих ви посъветвал да добавите AppCheck към Windows Defender. А Malwarebytes не е нужно да я държите в реално време. Т.е. можете да преминете към безплатната и версия и да си я оставите само за профилактични проверки.

https://www.kaldata.com/софтуер/appcheck-anti-ransomware-274541.html

преди 35 минути, B-boy/StyLe/ написа:

Привет,

Не, при KPRM не се изисква деинсталация. Можете просто да изтриете файла заедно с прилежащия към него лог файл.

Ами това е от мен. Един съвет само. Този път се разминахте леко. Бих ви посъветвал да добавите AppCheck към Windows Defender. А Malwarebytes не е нужно да я държите в реално време. Т.е. можете да преминете към безплатната и версия и да си я оставите само за профилактични проверки.

https://www.kaldata.com/софтуер/appcheck-anti-ransomware-274541.html

Още веднъж БЛАГОДАРЯ! Ще направя това, което ме посъветвахте.

Няма за какво. Безопасно сърфиране от мен.