Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] windowshost грузит цп (http://forum.oszone.net/showthread.php?t=347402)

vaytek 21-12-2020 00:25 2943608
windowshost грузит цп
 
Вложений: 4
C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://loders.xyz:3333 -u RandomX_CPU --donate-level=1 -k -t1 Грузит ЦП, если отрыть диспетчер задач процесс пропадает, но через некоторое время диспетчер задач закрывается и процесс снова появляется. Тему открыл тут потому что при открытии вкладки Лечение систем от вредоносных программ закрывается браузер.

NickM 21-12-2020 08:48 2943625
vaytek, Вам в этот раздел - "Лечение систем от вредоносных программ".

А так, для начала у Вас майнер, в указанном разделе специалисты Вам помогут пролечиться, а в этом может оказаться так, что пользователи выдадут не совсем корректные советы.

Sandor 21-12-2020 09:16 2943626
vaytek, здравствуйте!

Архив CollectionLog.zip у вас получился? Если да, прикрепите к следующему сообщению.

akok 21-12-2020 12:26 2943642
NickM, у пользователя проблема. При попытке войти в профильный раздел, закрывается браузер. Так, что тема тут по согласованию с консультантами.

vaytek 21-12-2020 12:57 2943647
Вложений: 1
Цитата:
Цитата Sandor
vaytek, здравствуйте!
Архив CollectionLog.zip у вас получился? Если да, прикрепите к следующему сообщению. »

regist 21-12-2020 13:22 2943652
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
          begin
                  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
                  DeleteFileMask(fname, '*', true);
                  DeleteDirectory(fname);
          end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
        ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\bebca3bc90\tdun.exe');
 TerminateProcessByName('C:\ProgramData\RealtekHD\taskhostw.exe');
 TerminateProcessByName('c:\programdata\rundll\rundll.exe');
 TerminateProcessByName('c:\programdata\rundll\system.exe');
 TerminateProcessByName('c:\programdata\windows\rutserv.exe');
 TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
 StopService('mhyprot2');
 StopService('RManService');
  AV_block_remove;
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 QuarantineFile('c:\programdata\bebca3bc90\tdun.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('c:\programdata\rundll\rundll.exe', '');
 QuarantineFile('c:\programdata\rundll\system.exe', '');
 QuarantineFile('c:\programdata\windows\rutserv.exe', '');
 QuarantineFile('c:\programdata\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 QuarantineFile('C:\Users\Old\AppData\Local\Temp\mhyprot2.sys', '');
 QuarantineFile('C:\Users\Old\AppData\Local\Temp\svchost.exe', '');
 QuarantineFileF('c:\programdata\rundll', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll');
 DeleteFile('c:\programdata\bebca3bc90\tdun.exe');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('c:\programdata\rundll\rundll.exe', '');
 DeleteFile('c:\programdata\rundll\system.exe', '');
 DeleteFile('c:\programdata\rundll\system.exe', '64');
 DeleteFile('c:\programdata\windows\rutserv.exe', '');
 DeleteFile('C:\ProgramData\Windows\rutserv.exe', '64');
 DeleteFile('c:\programdata\windowstask\audiodg.exe', '');
 DeleteFile('c:\programdata\windowstask\audiodg.exe', '64');
 DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFile('C:\Users\Old\AppData\Local\Temp\mhyprot2.sys', '64');
 DeleteFile('C:\Users\Old\AppData\Local\Temp\svchost.exe', '');
 DeleteService('mhyprot2');
 DeleteService('RManService');
 DeleteFileMask('c:\programdata\rundll', '*', true);
 DeleteFileMask('c:\programdata\windows', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\rundll');
 DeleteDirectory('c:\programdata\windows');
 DeleteDirectory('c:\programdata\windowstask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Old', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Old', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
ExecuteSysClean;
 ExecuteRepair(13);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
после выполнения скрипта компьютер перезагрузится.
после перезагрузки выполнить второй скрипт:

Код:
begin
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
  CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

vaytek 21-12-2020 13:35 2943653
Вложений: 1
Цитата:
Цитата Sandor
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »
Скрипты выполнил. Логи прикрепил. quarantine.7z отправил на почту.

Sandor 21-12-2020 13:37 2943654
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

vaytek 21-12-2020 13:46 2943656
Вложений: 2
Цитата:
Цитата Sandor
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. »
Прикрепляю файлы. После выполнения скрипта процесс пока не появлялся.

Sandor 21-12-2020 13:56 2943657
Дочистим хвосты:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {01FB06EE-3B7A-4449-B5C7-F27807805460} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {1B013E42-9528-46B1-8A60-D5800566C062} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
    Task: {A5EFAF89-8979-4139-A2A4-5F1B037E09E6} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {B7B7F3CA-AE8B-44D4-B402-B6FBC6F7ECE9} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    Task: {C678E948-69A4-4B4B-8FD3-F51287F90D75} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    CHR Notifications: Default -> hxxps://75.glawandius.com; hxxps://hoopgame.net; hxxps://tasty-drop.net
    CHR StartupUrls: Default -> "hxxp://mypoisk.su/"
    2020-12-17 17:12 - 2020-12-21 12:19 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-12-17 17:12 - 2020-12-21 12:19 - 000000000 __SHD C:\ProgramData\Windows
    2020-12-17 17:12 - 2020-12-21 12:19 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-12-17 17:12 - 2020-12-21 12:19 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-12-17 17:12 - 2020-12-21 12:18 - 000000000 ____D C:\ProgramData\bebca3bc90
    2020-12-17 17:12 - 2020-12-17 17:13 - 000000000 ____D C:\ProgramData\a53e48988c0aef
    2020-12-17 17:12 - 2020-12-17 17:12 - 000000000 __SHD C:\rdp
    2020-12-17 17:12 - 2020-12-17 17:12 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-12-17 17:12 - 2020-12-17 17:12 - 000000000 _____ C:\ProgramData\152142102480603408530444
    2020-12-12 06:18 - 2020-12-12 06:18 - 000000000 ____D C:\ProgramData\Orbit
    2020-12-21 12:17 - 2020-11-10 06:29 - 000000000 __SHD C:\ProgramData\Avast Software
    2020-08-18 06:24 - 2017-12-27 19:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
    IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
    IE trusted site: HKU\S-1-5-21-4210248060-3408530444-3030530931-1001\...\webcompanion.com -> hxxp://webcompanion.com
    FirewallRules: [{3679C94B-E6E4-4F93-8F8D-FA4D77738762}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{44C8D87A-230E-4D90-81C8-260FECE9FD9A}] => (Block) LPort=139
    FirewallRules: [{FE066773-22CA-4D78-BBBC-7551DA7AAF8D}] => (Block) LPort=445
    FirewallRules: [{4DC13B9D-8D3D-40CC-9C4D-42065CCC7D0A}] => (Block) LPort=445
    FirewallRules: [{BE1E9117-D538-4BD7-80D1-0DA9A97A3D76}] => (Block) LPort=139
    FirewallRules: [{6864797E-C37C-4D96-B7C5-006A0880AB61}] => (Allow) LPort=3389
    FirewallRules: [{B49773D9-75F6-48DA-8ECC-715E77B72A12}] => (Allow) LPort=3389
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

regist 21-12-2020 14:12 2943662
+

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.


Удалите остатки Аваст их утилитой https://safezone.cc:443/threads/chis...antivirusa.58/

Профиксите в HijackThis
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT170902&iDate=2020-08-14 01:22:30&bName=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{993F5746-4C15-42BC-99C1-064A1764271B}: [url] = https://securesearch.org?q={searchTerms} - DefaultSearchYahoo
O4 - MSConfig\startupreg: EpicGamesLauncher [command] = D:\GAMES\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe -silent (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: GameCenter [command] = C:\Users\Old\AppData\Local\GameCenter\GameCenter.exe -autostart (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: Opera Browser Assistant [command] = C:\Users\Old\AppData\Local\Programs\Opera\assistant\browser_assistant.exe (HKCU) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: RazerCortex [command] = C:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -autorun (HKLM) (2020/11/24) (file missing)
O4 - MSConfig\startupreg: Web Companion [command] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (HKCU) (2020/09/17) (file missing)
O15 - Trusted Zone: http://webcompanion.com
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
Проверьте открывается ли теперь у вас раздел лечения? http://forum.oszone.net/forum-87.html

Соберите свежие логи Автологером.

+ просто интересно
Код:
WinRAR 5.70 (32-bit) [2020/08/14 03:20:49]-->C:\Program Files (x86)\WinRAR\uninstall.exe
WinRAR 5.70 (64-bit) [2020/08/14 03:20:42]-->C:\Program Files\WinRAR\uninstall.exe
Зачем два WinRAR - чем одного не хватает?

vaytek 21-12-2020 14:35 2943665
Вложений: 1
Цитата:
Цитата Sandor
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически. »
Выполнил

vaytek 21-12-2020 14:56 2943667
Вложений: 2
Цитата:
Цитата regist
Отчёт о работе прикрепите. »
отчёты прикрепил
Цитата:
Цитата regist
Зачем два WinRAR - чем одного не хватает? »
Даже не обращал внимания что их 2 , один удалил.

regist 21-12-2020 15:32 2943670
1) Выполните команду
Код:
icacls C:\ProgramData\Windows\* /save c:\PD_windows_ACLs.txt /t
Файл c:\PD_windows_ACLs.txt прикрепите.

2) Папки
Код:
C:\Users\Old\AppData\Roaming\changzhi2
C:\Program Files\ldplayerbox
C:\Users\Old\AppData\Roaming\XuanZhi
C:\Users\Old\AppData\Roaming\lddownloader
Вам знакомы?

3) Выполните скрипт AVZ

Код:
{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
          begin
                  FSResetSecurity(fname);
                  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
                  DeleteFileMask(fname, '*', true);
                  DeleteDirectory(fname);
          end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
        ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 SetupAVZ('debug=y');
 AV_block_remove;
end.
свежие логи Автологером соберите.

vaytek 21-12-2020 16:33 2943677
Вложений: 2
Цитата:
Цитата regist
2) Папки
Код:
C:\Users\Old\AppData\Roaming\changzhi2
C:\Program Files\ldplayerbox
C:\Users\Old\AppData\Roaming\XuanZhi
C:\Users\Old\AppData\Roaming\lddownloader
Вам знакомы? »
Папки не знакомы.

regist 21-12-2020 18:36 2943692
Цитата:
Цитата vaytek
Папки не знакомы. »
Удалите их вручную, на этом с лечением закончим.


Время: 17:36.

Время: 17:36.
© OSzone.net 2001-