Подцепил вирус

@bloods1235 · Регистрация: 01.05.2020

Студворк — интернет-сервис помощи студентам

Привет! подцепил какую то бяку и не одну Trojan:Script/Phonzy.B!ml и Virus:Win32/Floxif.H и Virus:Win32/Floxif.gen!H...чем полечить?

@Sandor · 12.04.2023, 13:19

Здравствуйте!

Прочтите и выполните:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@bloods1235 · 17.04.2023, 09:05 **[ТС]**

лог прилагаю....правильно или нет не знаю

@Sandor · 17.04.2023, 11:20

Внимание! Рекомендации написаны специально для пользователя bloods1235. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour
Кнопка "Яндекс" на панели задач

2. Пофиксите в HijackThis следующие строчки:

Code
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks: Browserupdphenix - C:\Users\Я\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=F36372693AF1CA9729637A41F96187588272F6DBEEDDE847FFB6B5A5A4AB540EEBAAD457E22D885102BE386B38 --id=1 --sub-id=934
O22 - Tasks: plastic-planes - C:\ProgramData\port-proudly\bin.exe /H (file missing)
O22 - Tasks: program-preferences - C:\ProgramData\prepared-pocket\bin.exe /H (file missing)

Перезагрузите компьютер.

3.Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@bloods1235 · 17.04.2023, 11:44 **[ТС]**

в HijackThis этой строки нет
R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Internet Settings: [ProxyOverride] = *.local

@bloods1235 · 17.04.2023, 11:48 **[ТС]**

в HijackThis не такой строки ....
R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Internet Settings: [ProxyOverride] = *.local

вот скрин...

@bloods1235 · 17.04.2023, 11:52 **[ТС]**

в HijackThis нет такой строки ....
R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Int ernet Settings: [ProxyOverride] = *.local
вот скрин

@bloods1235 · 17.04.2023, 12:15 **[ТС]**

все сделал...
отчеты FRST.txt и Addition.txt в прищепке..

@bloods1235 · 17.04.2023, 12:22 **[ТС]**

все сделал...
отчеты FRST.txt и Addition.txt приложил в прищепке..

@Sandor · 18.04.2023, 08:18

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {222abb6e-9f9c-11ed-88fe-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {4538c665-9706-11ed-88fa-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {51419035-b8b2-11ed-8910-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {58a86635-794b-11ed-88eb-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {58a8668a-794b-11ed-88eb-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {70e06a44-a2ec-11ed-8900-14dae918fc03} - "H:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {89003ed9-a636-11ed-8901-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {b7150c00-abaa-11ed-8905-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {cbad2ce1-91be-11ed-88f8-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {ed4916eb-a4a8-11ed-8900-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3291781300-1136703059-1344249096-1001\...\MountPoints2: {fee425f1-5687-11ed-88db-14dae918fc03} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{3fe6c709-a9ba-4021-8c80-346d95982c54}: [NameServer] 178.175.133.61,193.37.68.40
CHR Notifications: Default -> hxxps://102302.sinema.top; hxxps://182301.sinema.top; hxxps://aiomobilestuff.com; hxxps://android-hit.ru; hxxps://androidhost.ru; hxxps://art-and-smile.moy.su; hxxps://busfor.ru; hxxps://coyot.do.am; hxxps://dl1progsru16731543231110.delikatsov.com; hxxps://filmitorrents.ru; hxxps://freesoft.space; hxxps://furmark.ru; hxxps://giclub.tv; hxxps://master-mobile.ru; hxxps://mircli.ru; hxxps://musinmymind.biz; hxxps://news-gofowe.cc; hxxps://otvet.tv; hxxps://rufus-win.ru; hxxps://s7.dosya.tc; hxxps://satfan.info; hxxps://spb.beeline.ru; hxxps://spravochnik.tel; hxxps://trashbox.ru; hxxps://uploadrar.com; hxxps://uploady.io; hxxps://uploadydl.com; hxxps://winzoro.net; hxxps://www.avito.ru; hxxps://www.egami-image.com; hxxps://www.eldorado.ru; hxxps://www.pochta.ru; hxxps://www.reddit.com; hxxps://www.svyaznoy.ru; hxxps://www.trickscity.com
CHR StartupUrls: Default -> "hxxp://gisclub.tv/index.php?board=306.0","hxxp://giclub.tv/index.php?board=111.0","hxxps://mail.yandex.ru/neo2/?ncrnd=9555&uid=91633223&login=sergei-kuznecnov2011#inbox","hxxp://www.telesputnik.ru/forum/viewforum.php?f=7","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Я\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
FirewallRules: [{454F9456-D66A-42AE-B45A-69A170A86BE5}] => (Allow) 㩃啜敳獲�䅜灰慄慴剜慯業杮瑜捯乜䕸硎攮數 => Нет файла
FirewallRules: [{346014B9-F47B-4FE9-BA09-F8F17D52DDE5}] => (Allow) 㩃啜敳獲�䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{8B5FB76D-893F-4629-9730-F6571ED6087F}] => (Allow) 㩃啜敳獲�䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{D9A07EB6-905E-4229-B9C1-84C19CDD9EE7}] => (Allow) 㩃啜敳獲�䅜灰慄慴剜慯業杮瑜捯煜彳⹙硥e => Нет файла
FirewallRules: [{8EB99155-D176-4760-95DE-2CB329A778E7}] => (Allow) LPort=80
FirewallRules: [{3F390844-1511-4F01-8537-61AB9171BC60}] => (Allow) LPort=27015
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@bloods1235 · 18.04.2023, 09:16 **[ТС]**

Привет! а скрипт как прогнать ?

@Sandor · 18.04.2023, 12:52

Я дал инструкцию:
- выделяете
- копируете
- запускаете FRST64.exe
- нажимаете кнопку "Исправить"

@bloods1235 · 18.04.2023, 13:41 **[ТС]**

все сделал...лог прикрепил...

@Sandor · 18.04.2023, 14:57

Дважды не нужно было выполнять, достаточно одного раза.

Ещё один скрипт выполните в безопасном режиме:

Выделите следующий код:

Code
1
2
3
4
Start::
DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Я\AppData\Local\Browserupdphenix
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@bloods1235 · 18.04.2023, 15:14 **[ТС]**

прогнал скрипт...

@Sandor · 18.04.2023, 15:50

Вы запустили в нормальном режиме

Режим загрузки: Normal

а я просил в безопасном. Повторите.

@bloods1235 · 18.04.2023, 23:13 **[ТС]**

тормазнул с безопасным режимом....

@Sandor · 19.04.2023, 09:09

На этот раз успешно.

Проблема решена?

@bloods1235 · 19.04.2023, 10:22 **[ТС]**

Все нормально .. Спасибо!

@Sandor · 19.04.2023, 12:39

Хорошо, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Новые блоги и статьи Все статьи Все блоги /
WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Old Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .	Почему дизайн решает? Neotwalker 09.01.2026 В современном мире, где конкуренция за внимание потребителя достигла пика, дизайн становится мощным инструментом для успеха бренда. Это не просто красивый внешний вид продукта или сайта — это. . .	Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114
Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .	Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26

	Подцепил вирус 12.04.2023, 12:08. Показов 2805. Ответов 19 Метки нет (Все метки) Привет! подцепил какую то бяку и не одну Trojan:Script/Phonzy.B!ml и Virus:Win32/Floxif.H и Virus:Win32/Floxif.gen!H...чем полечить? 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	12.04.2023, 13:19
	Здравствуйте! Прочтите и выполните: Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	17.04.2023, 11:44 [ТС]
	в HijackThis этой строки нет R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Internet Settings: [ProxyOverride] = *.local 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	17.04.2023, 11:48 [ТС]
	в HijackThis не такой строки .... *R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Internet Settings: [ProxyOverride] = .local** вот скрин... Миниатюры 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	17.04.2023, 11:52 [ТС]
	в HijackThis нет такой строки .... R1 - HKCU\Software\Microsoft\Windows\CurrentV ersion\Int ernet Settings: [ProxyOverride] = *.local вот скрин Миниатюры 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	17.04.2023, 12:15 [ТС]
	все сделал... отчеты FRST.txt и Addition.txt в прищепке.. 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	18.04.2023, 09:16 [ТС]
	Привет! а скрипт как прогнать ? 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	18.04.2023, 12:52
	Я дал инструкцию: - выделяете - копируете - запускаете FRST64.exe - нажимаете кнопку "Исправить" 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	19.04.2023, 09:09
	На этот раз успешно. Проблема решена? 0

@bloods1235 0 / 0 / 0 Регистрация: 01.05.2020 Сообщений: 26
	19.04.2023, 10:22 [ТС]
	Все нормально .. Спасибо! 0

@Sandor 22436 / 15893 / 3077 Регистрация: 08.10.2012 Сообщений: 64,752
	19.04.2023, 12:39
	Хорошо, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0