RobotDemo.exe

@F_81rI · Регистрация: 04.01.2022

Author24 — интернет-сервис помощи студентам

Словил вирус, при удалении и перезагрузке появляется снова. Как от него избавиться?

@Sandor · 04.01.2022, 15:11

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@F_81rI · 04.01.2022, 15:15 **[ТС]**

CollectionLog

@Sandor · 04.01.2022, 15:20

Внимание! Рекомендации написаны специально для пользователя F_81rI. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Program Files (x86)\Transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('C:\ProgramData\RobotDemo');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
Подготовьте новый CollectionLog.

@F_81rI · 04.01.2022, 15:41 **[ТС]**

Сделал

@Sandor · 04.01.2022, 16:06

Выполните еще раз скрипт №1, только используйте эту версию AVZ

C:\Users\F\Desktop\2\AutoLogger\AV\av_z.exe

и запускайте её правой кнопкой от имени администратора.

Пункт 3 тоже сделайте после этого.

@F_81rI · 04.01.2022, 16:27 **[ТС]**

Сделал

@Sandor · 04.01.2022, 16:42

Теперь лучше.

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@F_81rI · 04.01.2022, 17:08 **[ТС]**

Готово

@F_81rI · 04.01.2022, 18:51 **[ТС]**

Sandor, готово

Добавлено через 46 минут
Sandor, что-то ещё нужно сделать?

@Sandor · 04.01.2022, 18:57

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\F\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\F\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{71919dd9-f9cb-4117-93e0-b6739817a42e}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5602]
URLSearchHook: HKU\S-1-5-21-3806364105-2424644092-297726671-1001 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3806364105-2424644092-297726671-1001\...\webcompanion.com -> hxxp://webcompanion.com
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появится скрытая ранее

Blocks all annoying Ads 1.0.0.0

Удалите.
Не получится стандартно, удалите принудительно через Geek Uninstaller

@F_81rI · 04.01.2022, 19:36 **[ТС]**

Вроде всё

@Sandor · 04.01.2022, 19:54

Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@F_81rI · 04.01.2022, 20:44 **[ТС]**

Готово

@Sandor · 04.01.2022, 20:50

Два антивируса - много. Один оставьте, один деинсталлируйте.
Если решите оставить Malwarebytes, его нужно обновить.
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.4.10.144 v.4.4.10.144 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.24.0.123 v.3.24.0.123 Внимание! Скачать обновления
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Notepad++ (32-bit x86) v.8.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent Web v.1.2.7 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^
---------------------------- [ UnwantedApps ] -----------------------------
Web Companion v.8.9.0.371 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
vtokоeoаkе_DJ v.1.0006523478 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Читайте Рекомендации после удаления вредоносного ПО

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 19:54	13
	Если проблема решена, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@F_81rI 0 / 0 / 0 Регистрация: 04.01.2022 Сообщений: 8
		1
	RobotDemo.exe 04.01.2022, 15:07. Показов 629. Ответов 14 Метки нет (Все метки) Словил вирус, при удалении и перезагрузке появляется снова. Как от него избавиться? 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 15:11	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 15:20	4
	Внимание! Рекомендации написаны специально для пользователя F_81rI. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Program Files (x86)\Transmission\transmission-qt.exe'); StopService('Transmission'); QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', ''); QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', ''); DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', ''); DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', ''); DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64'); DeleteService('Transmission'); DeleteFileMask('c:\program files (x86)\transmission', '', false); DeleteFileMask('C:\ProgramData\RobotDemo', '', true); DeleteDirectory('c:\program files (x86)\transmission'); DeleteDirectory('C:\ProgramData\RobotDemo'); ExecuteSysClean; ExecuteRepair(21); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Подготовьте новый CollectionLog. 2

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 16:06	6
	Выполните еще раз скрипт №1, только используйте эту версию AVZ C:\Users\F\Desktop\2\AutoLogger\AV\av_z.exe и запускайте её правой кнопкой от имени администратора. Пункт 3 тоже сделайте после этого. 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 16:42	8
	Теперь лучше. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@F_81rI 0 / 0 / 0 Регистрация: 04.01.2022 Сообщений: 8
	04.01.2022, 18:51 [ТС]	10
	Sandor, готово Добавлено через 46 минут Sandor, что-то ещё нужно сделать? 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 18:57	11
	Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ C:\Users\F\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb C:\Users\F\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{71919dd9-f9cb-4117-93e0-b6739817a42e}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5602] URLSearchHook: HKU\S-1-5-21-3806364105-2424644092-297726671-1001 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-3806364105-2424644092-297726671-1001\...\webcompanion.com -> hxxp://webcompanion.com ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. В перечне установленных программ появится скрытая ранее Blocks all annoying Ads 1.0.0.0 Удалите. Не получится стандартно, удалите принудительно через Geek Uninstaller 0

@Sandor 21868 / 15673 / 3021 Регистрация: 08.10.2012 Сообщений: 63,706
	04.01.2022, 20:50	15
	Два антивируса - много. Один оставьте, один деинсталлируйте. Если решите оставить Malwarebytes, его нужно обновить. ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Malwarebytes version 4.4.10.144 v.4.4.10.144 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- NVIDIA GeForce Experience 3.24.0.123 v.3.24.0.123 Внимание! Скачать обновления Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Notepad++ (32-bit x86) v.8.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9002 Внимание! Скачать обновления Zoom v.5.4.9 (59931.0110) Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- BitTorrent Web v.1.2.7 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^ ---------------------------- [ UnwantedApps ] ----------------------------- Web Companion v.8.9.0.371 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. vtokоeoаkе_DJ v.1.0006523478 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Читайте Рекомендации после удаления вредоносного ПО 0