Вирус-майнер. Папка Mysql в c:\windows\fonts

@VVell · Регистрация: 24.02.2018

Author24 — интернет-сервис помощи студентам

Добрый день! Подхватил вирус-майнер и удаленный доступ. Rogue Killer ругается на скрытую папку Mysql в c:\windows\fonts. Уже сталкивался на форуме с аналогичными темами, привожу ссылку.
Подхватил вирус-майнер и удаленный доступ (RMS, rutserv.exe). Папка Mysql в папке c:\windows\fonts

Абсолютна та же самая проблема. Так же прикрепляю свои логи.

Заранее благодарен!

@severnyj · 22.02.2021, 15:32

Скачайте эту утилиту, распакуйте и запустите. Следуйте инструкциям.

После перезагрузки соберите новый CollectionLog Автологером.

@VVell · 22.02.2021, 15:52 **[ТС]**

Все сделал. Прикрепляю логи.

@Sandor · 22.02.2021, 20:31

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@VVell · 23.02.2021, 00:07 **[ТС]**

Сделал, прикрепляю логи.

@severnyj · 23.02.2021, 10:27

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact Beta_Launcher] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
U3 aswbdisk; не ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Windows\System32:tdsrset.gfc [5846]
AlternateDataStreams: C:\Users\Я\AppData\Local\Temp:$DATA [16]
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

@VVell · 23.02.2021, 10:58 **[ТС]**

Сделал. Прикрепляю логи.

@severnyj · 23.02.2021, 11:10

Что с проблемой?

@VVell · 23.02.2021, 11:42 **[ТС]**

Прошелся Rogue Killer'ом, пока все тихо. Благодарю за помощь!!!!

@severnyj · 23.02.2021, 11:44

Напоследок:

Деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите.

Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download

@VVell · 23.02.2021, 12:06 **[ТС]**

Прикрепляю лог.

@severnyj · 23.02.2021, 12:18

Не забывайте обновляться:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1418.15063.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено

HotFix KB4599208 Внимание! Скачать обновления

Notepad++ (64-bit x64) v.7.8.7 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.4 v.6.1.4 Внимание! Скачать обновления

WinRAR 5.50 v.5.50 Внимание! Скачать обновления

XnView 2.41 v.2.41 Внимание! Скачать обновления

Zoom v.5.0 Внимание! Скачать обновления

Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe).

Adobe Creative Cloud v.4.7.0.400 Внимание! Скачать обновления
Adobe Flash Player 32 NPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

+

Рекомендации после удаления вредоносного ПО

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	22.02.2021, 15:32	2
	Скачайте эту утилиту, распакуйте и запустите. Следуйте инструкциям. После перезагрузки соберите новый CollectionLog Автологером. 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	22.02.2021, 20:31	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	23.02.2021, 10:27	6
	Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: HKLM-x32\...\Run: [Genshin Impact Beta_Launcher] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ U3 aswbdisk; не ImagePath ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла AlternateDataStreams: C:\Windows\System32:tdsrset.gfc [5846] AlternateDataStreams: C:\Users\Я\AppData\Local\Temp:$DATA [16] CMD: netsh advfirewall reset ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	23.02.2021, 11:10	8
	Что с проблемой? 0

@VVell 0 / 0 / 0 Регистрация: 24.02.2018 Сообщений: 17
	23.02.2021, 11:42 [ТС]	9
	Прошелся Rogue Killer'ом, пока все тихо. Благодарю за помощь!!!! 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	23.02.2021, 11:44	10
	Напоследок: Деинсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите. Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download 0

@severnyj 3901 / 2113 / 347 Регистрация: 04.04.2012 Сообщений: 7,746
	23.02.2021, 12:18	12
	Не забывайте обновляться: Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ Internet Explorer 11.1418.15063.0 Внимание! Скачать обновления Контроль учётных записей пользователя включен (Уровень 3) Автоматическое обновление отключено HotFix KB4599208 Внимание! Скачать обновления Notepad++ (64-bit x64) v.7.8.7 Внимание! Скачать обновления Oracle VM VirtualBox 6.1.4 v.6.1.4 Внимание! Скачать обновления WinRAR 5.50 v.5.50 Внимание! Скачать обновления XnView 2.41 v.2.41 Внимание! Скачать обновления Zoom v.5.0 Внимание! Скачать обновления Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe). Adobe Creative Cloud v.4.7.0.400 Внимание! Скачать обновления Adobe Flash Player 32 NPAPI v.32.0.0.433 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. + Рекомендации после удаления вредоносного ПО 0