решен вирус на компа

[transcend92]

имам съмнение че вируса още ми е на компа

Реално това го  рабрах след като дефендера ми извести и компа започна да забива 

и няколко пъти ми спира нета 

от рутера до компа но си имаше интернет но нямаше подаване на компютъра 

после като реснах рутера се пусна за малко реших да си логна в някой сайт и логнах в тубата 

там видях сигурно 50 клипа качени от мен за някви хакове .

След това реших да сложа Malwarebytes  ето това е резултата

П

После реших да пусна и Microsoft Defender ето какво откри той

пуснах Microsoft Defender да сканира в офлайн режим 

 

Ако има някой специалист в тази свера ще го помоля за помощ предварително благодаря

[цър-вул]

Сканиране с Farbar Recovery Scan Tool 

• Моля изтеглете Farbar Recovery Scan Tool (според версията на Windows изберете 32-битовата или 64-битовата версия) и го запазете на десктопа.
• Стартирайте файла FRST.exe (или FRST64.exe)
• Програмата ще се стартира. Натиснете YES за да се съгласите с лицензионното споразумение.
• Натиснете бутона [Scan].
• Изчакайте търпеливо проверката да приключи.
• Ще се създадат два лог файла с имена FRST.txt и Addition.txt на десктопа.
• Копирайте съдържанието на файла FRST.txt в следващия си пост. Прикачете Addition.txt в коментара си (погледнете опцията Прикачване на файлове, когато публикувате мнение).

Дневници 

В следващия си отговор, моля да включите (като копирате целите съдържания ) следните дневници:

• FRST.txt (копирате цялото съдържание)
• Addition.txt (копирате цялото съдържание) 

 

[transcend92]

Ето и файловете които ми казахте да направяAdditional.txtFRST.txt

[nikssi]

преди 1 минута, transcend92 написа:

Ето и файловете които ми казахте да направяAdditional.txtFRST.txt

Темата се мести в правилния раздел -Премахване на зловреден софтуер.

Моля спазвайте правилата в раздела.

Правила на форум: Премахване на зловреден софтуер - HiJackThis логове

Цитат

1. Моля да изпълните стриктно инструкциите от следната тема: Системата ми е инфектирана - Какво да правя сега?
2. Забранено е на всички потребители да пишат в чужди теми. Само авторът на темата и екипът на HiJackThis могат да добавят отговори в конкретната тема.
3. Не инсталирайте ComboFix без предварително дадени инструкции от HJT Team.
4. Само членовете на HJT Team са отговорни за даване на инструкции за работа със специализирани инструменти за отстраняване на зловреден код, както и за работа с логовете, създадени от тези инструменти.
5. Всички коментари и съвети за работа със специализирани инструменти за отстраняване на зловреден код, както и за инсталация или преинсталация на операционна система, които не са дадени от членовете на HJT Team се изтриват без предупреждение.
6. Групата HJT Team не носи нито пряка, нито косвена отговорност за загуба на данни, причинена в процеса на почистване на зловредния код.

 

[transcend92]

извинявам се ако съм я пуснал в грешния раздел  просто не можах да го намеря и реших да я пусна в хардуер 

а би трябвало да е в софтуер 

[transcend92]

Пише че 

Публикацията ще бъде задържана за преглед от модератор преди да стане видима за да се отсеят мненията, които не са по темата.

А за колко време и как да разбера дали темата вече е преместена  ?

[B-boy/StyLe/]

Здравейте,

В момента съм малко ангажиран и ще се включа сигурно утре сутринта. Не видях наличието на активни зарази, което показва,че Windows Defender и Malwarebytes са си свършили работата. Това с което сте били заразени е Bitcoin Miner троянец - може би от пиратско копие на играта (като тази - WitchIt).

И защо при вас изпълнимия файл на Malwarebytes се казва - MBSetup-26E3E965.exe, след като при сваляне от официалната страница файла е с име - MBSetup.exe? Ако сте сваляли кракната версия това също е възможен източник на зарази...

Като изключим това видях следните остатъци (неактивни, но зловредени) от въпросния зловреден софтуер:

2022-11-24 19:33 - 2022-11-24 19:33 - 000040960 _____ C:\Users\PREDATOR\OneDrive\Документи\qKKs16f5FFbLXKTBcVXFoVQ8.exe
2022-11-24 18:58 - 2022-11-24 18:58 - 000000000 ____D C:\Users\PREDATOR\AppData\Roaming\bf045808586a24
2022-11-24 18:57 - 2022-11-24 20:16 - 000000000 ____D C:\Users\PREDATOR\AppData\Roaming\{78b9a26e-baf8-11eb-a878-806e6f6e6963}
2022-11-24 18:57 - 2022-11-24 20:08 - 000000000 ____D C:\Program Files (x86)\ClipManagerP0

Копирайте редовете, както са показани в notepad. Запазете файла с името fixlist.txt.

Копирайте документа в папката, където се намира FRST64.exe

Стартирайте FRST64.exe и натиснете бутона FIX.

Ако поиска рестарт, съгласете се. След рестарта ще се появи лог файл с името Fixlog.txt. Публикувайте съдържанието му.

Ако не се появи такъв лог, го потърсете в папката C:\FRST\Logs.

Добре е да направите нова проверка с FRST с бутона SCAN и да прикачите новите резултати, както и кратко описание на ситуацията.

Поздрави!

[transcend92]

тук ще ми е малко трудничко

Копирайте редовете, както са показани в notepad. ? за запзването ясно просто го преименувам fixlist.txt.

Копирайте документа в папката, където се намира FRST64.exe - къде и кой точно /този който направих  когато цър-вул  ми  каза или друг 

Реално аз нямам такава папка това което изтеглих е само нещо като портативна програма не е  инсталация 

разбирасе  линка който  цър-вул сподели -https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

 

 

и утре може дори ако искате може и вие да го направите ще ви дам една програмка за да ми логнете в компа каза се TeamViewer

разбира се ако вие желаете не е задължително 

[B-boy/StyLe/]

Прикачил съм файла. Свалете и копирайте файла => fixlist.txt в папката, където се намира FRST64 (т.е. в папката Downloads - C:\Users\PREDATOR\Downloads).

Останалото е ясно....Стартирайте FRST64.exe, натискате FIX и т.н.

Между другото видях, че в папката - C:\Users\PREDATOR\AppData\Roaming\bf045808586a24 (която подадох за изтриване от FRST64).

има една библиотека - cred64.dll (освен ако вече не е била изтрита от антивирусните програми).

Това е крадец на данни. Така, че е добре да си смените паролите за всичките си акаунти, които може да са били прихванати - пощи, игри, социални мрежи, такива за онлайн пазаруване и прочие за да не осъмнете с опразнени сметки и откраднати акаунти...

[transcend92]

Там ли се слага тоя текст който ми  казахте да копирам ?

[B-boy/StyLe/]

НЕ. Написал съм какво се прави. Вече не копирате текст... Копирате прикачения файл в Downloads и пускате FIX-a...

[transcend92]

По този начин ли трябва 

 сега файла който ми дадохте е в папката 

просто стартирам програмата и натискам Fix нали така

[B-boy/StyLe/]

Да... макар че не прикачайте снимки, защото сайта ги мачка и нищо не се вижда. Качвайте ги на външни хостинги и давайте линк към тях:

https://imgbb.com/

https://imgur.com/

и т.н.

[transcend92]

Ето и файла който ми казахте да направя Fixlog_25-11-2022 22.10.20.txt

Ето и другите два нови файла които ми казахте да споделя

Additional.txtFRST.txt

[B-boy/StyLe/]

Изтрили са се успешно. Утре ще продължим. Вие си помислете за смяна на паролите.

Поздрави!

[transcend92]

добре много благодаря 

[transcend92]

за 3 часа си смених всичките пароли от всички сайтове както ми каза

при някои имаше забавяне защото имах и /authenticator 

 

 

[B-boy/StyLe/]

Няма зловредни остатъци, но е добре да пуснем още един скрипт да оберем малко "плява".

Изтегли това в папката, където е FRST, както преди, пусни инструмента, натисни FIX и публикувай лог файла:

fixlist.txt

[transcend92]

това ми излизе след като сложих този файл за фикс и след рестарт

[B-boy/StyLe/]

Помолих да НЕ прикачате снимките:

преди 14 часа, B-boy/StyLe/ написа:

Да... макар че не прикачайте снимки, защото сайта ги мачка и нищо не се вижда. Качвайте ги на външни хостинги и давайте линк към тях:

https://imgbb.com/

https://imgur.com/

и т.н.

Вижда се, че FRST64.exe стартира, изберете изпълни!

И къде е лог файла - Fixlog.txt?

[transcend92]

не съм предприел никакви действия все още ще те почакам за отговор 

а ето и другия файл 

Fixlog.txt

[transcend92]

омг май сега се е сложил новия лог 

Fixlog_26-11-2022 12.15.44.txt

[B-boy/StyLe/]

преди 3 минути, transcend92 написа:

омг май сега се е сложил новия лог

И в какъв смисъл е "OMG" положението....???

[transcend92]

преди 1 минута, B-boy/StyLe/ написа:

И в какъв смисъл е "OMG" положението....???

ми обърках лог файла и ти пратих друг но на следващия пост ти пратих този който трябва 

 

[B-boy/StyLe/]

преди 1 минута, transcend92 написа:

ми обърках лог файла и ти пратих друг но на следващия пост ти пратих този който трябва

Ами не, едни и същи бяха, без значение от името. Единия е бекъп на другия просто.

Скрипта се е изпълнил коректно. Не мисля, че има повече неща от поправяне.

Може да направите една профилактична проверка с KVRT:

https://www.kaspersky.com/downloads/free-virus-removal-tool

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

 

Добра идея е да сложите нещо срещу Ransomware ако разчитате само на Windows Defender.

Добър инструмент в тази насока е AppCheck Anti-Ransomware.

https://www.kaldata.com/софтуер/appcheck-anti-ransomware-274541.html

Разбира се бекъп на важните документи също си остава задължителен навик.

Поздрави и спокойни почивни дни!