Доброго времени суток, поймал вирус LEAJ.exe. При запуске компьютера, открывает много папок temp, пытался удалить его по расположению файла, открывает еще какой то файл в txt, пользовался adwcleaner и drweb, хотя бы перестало так много и часто открывать вкладки браузера, но все равно вирус не ушёл, прикрепляю сюда логи. 168931

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe');
QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');
QuarantineFile('C:\ProgramData\presepuesto\LEAJ.exe', '');
QuarantineFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '');
QuarantineFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');
QuarantineFileF('C:\Users\Данил\AppData\Local\Temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
DeleteSchedulerTask('AdLock Update Task-S-1-5-21-4061180388-1244058595-1494617467-1001');
DeleteSchedulerTask('kiiwijandpqceppji.exe');
DeleteSchedulerTask('LEAJ');
DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');
DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');
DeleteFile('C:\ProgramData\presepuesto\LEAJ.exe', '64');
DeleteFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '64');
DeleteFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');
DeleteFile('C:\Users\Данил\AppData\Local\Temp\kiiwijandpqceppji.exe', '64');
DeleteFileMask('C:\Users\Данил\AppData\Local\Temp\', '*', true);
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Здравствуйте, отослал вам на почту quarantine.7z. Сюда прикрепляю повторный лог.168947

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ из папки Autologger (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','');
QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','');
QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','');
DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','32');
DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','32');
DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','64');
DeleteSchedulerTask('ProactiveScan');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)


Скачайте Farbar Recovery Scan Tool ('https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/') (или с зеркала ('https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/')) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве. ('https://safezone.cc/threads/17759/')

Здравствуйте, был в командировке. Вот FRST.TXT И ADDITION.Txt, q169003uarantine.7z отправил вам по форме

Здравствуйте, отправил вам quarantine.7z по форме, прикрепляю сюда FRST и Addition. Извиняюсь что долго не отвечал, отсутствовал из пк. 169004 169005

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Данил\AppData\Local\Temp\\117b9921-fec9-44fd-b24a-d76feabb61eb.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\1E60447A-56890C16-259C4273-6CE10850 []
Startup: C:\Users\Данил\AppData\Local\Temp\\347b6f84-eece-4259-9032-87e267a80af7.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\48295c9a-fccd-446e-8d0e-6ee94846e619.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\4af3d223-ae32-4204-b1dc-9a6d634ebb36.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\653668cc-f19e-4ab6-b8d8-0a8c0cc4e8e3.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\7a04c50b-d28f-41f3-841c-55744765d2e0.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\ac113dfc-0947-4ec5-a846-f96777c4de4e.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\af84b976-564c-4a30-a9cc-17f99b8ed637.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\c543b2b6-f21d-4428-b377-1b049ce7b61f.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\c7abb1a0-daa3-4694-a2e2-597e2a48746a.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\d7864817-2562-47e2-b4f7-3e4cd02c2acd.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\d929e48a-a351-476b-a45b-52c96eab15b1.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601.log [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_000_vcRuntimeMinimum_x64.log [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_001_vcRuntimeAdditional_x64.log [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212606.log [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\de11d0aa-0e20-4cf2-b485-d7b7de4479b9.tmp [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\E9F8DC40-9D83-4F9B-A469-DB34880AB4B5.Diagnose.Admin.0.etl [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-1-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-2-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-3-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-4-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-5-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
Startup: C:\Users\Данил\AppData\Local\Temp\\RarSFX0 []
Startup: C:\Users\Данил\AppData\Local\Temp\\scoped_dir9896_546502781 []
Startup: C:\Users\Данил\AppData\Local\Temp\\Turn10Temp.scratch []
Startup: C:\Users\Данил\AppData\Local\Temp\\UTPS []
Startup: C:\Users\Данил\AppData\Local\Temp\\UTPSInstall.log [] () [Файл не подписан]
Startup: C:\Users\Данил\AppData\Local\Temp\\yandex_browser_updater.log [] () [Файл не подписан]
Task: {74477C02-D3AF-4FAD-A29B-AF5EBAAF7A36} - \profiles-preserve -> Нет файла <==== ВНИМАНИЕ
C:\Users\Данил\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\...\{a70eb8c9-1fe8-46ac-ba86-c73ed99c12c1}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [684]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [684]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [684]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [684]
AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [3442]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [684]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3442]
AlternateDataStreams: C:\Users\Данил\Application Data:NT [40]
AlternateDataStreams: C:\Users\Данил\Application Data:NT2 [684]
AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT2 [684]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').

Доустановите (http://www.angxunmb.com/web/index.php?topclassid=16&classid=64&lanstr=en&wap=1) недостающие драйверы.

здравствуйте, куда вводить этот код, запутался(

Действуйте как написано:
- выделите код
- скопируйте
- запустите FRST64.exe
- нажмите "Исправить"

Скрипт будет выполнен из буфера обмена (вставлять никуда не нужно).

Здравствуйте, разобрался. Скидываю сюда fixlog.txt 169027

Вроде как помогло, сам LEAJ.EXE давно ушел, но цп нагружало, чувствовались лаги, но папки темп и файлы в ней вроде после перезагрузки не открывались больше

Вроде как помогло, вроде после 1-2 этапа уже пропало как раз LEAJ.EXE. И после последней процедуры, после перезагрузки папка темп и файлы в ней больше не открывались при запуске.

Хорошо, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Спасибо вам огромное за помощь! выполнил пункты

Файл SecurityCheck.txt прикрепите, пожалуйста, к следующему сообщению.