Вирус RobotDemo/CSGOcalc

@Wynns · Регистрация: 18.07.2021

Студворк — интернет-сервис помощи студентам

Всем привет! Как и многие столкнулся с данной проблемой, удалить никак не получается. Помогите, пожалуйста, избавиться от него.

@Sandor · 19.07.2021, 08:50

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Wynns. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Users\Администратор\AppData\Local\Programs\uBlock Pro\updater.exe', '');
 DeleteSchedulerTask('uBlockProLogonUpdate');
 DeleteFile('C:\Users\Администратор\AppData\Local\Programs\uBlock Pro\updater.exe', '64');
 DeleteFile('C:\Users\Администратор\Desktop\SSD\Users\Bochkin\AppData\Roaming\Microsoft\Windows\Recent\Интернет.lnk');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Code
1
2
3
4
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@Wynns · 21.07.2021, 09:21 **[ТС]**

Здравствуйте. Файл карантина отправил - 2021.07.21_quarantine_37b809d49961a96579 73f161bf1a98f2.7z

@Sandor · 21.07.2021, 09:47

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Unchecky v1.2

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Wynns · 21.07.2021, 10:53 **[ТС]**

Файлы FRS

@Sandor · 21.07.2021, 11:03

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1516987187-1837558464-3178417824-1000\...\MountPoints2: {5e5958d6-048e-11eb-8932-38d547b65da8} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1516987187-1837558464-3178417824-1000\...\MountPoints2: {8a4239a3-0c6d-11eb-893a-38d547b65da8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1516987187-1837558464-3178417824-1000\...\MountPoints2: {8a423cb5-0c6d-11eb-893a-38d547b65da8} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1516987187-1837558464-3178417824-500\...\MountPoints2: {5e5958d6-048e-11eb-8932-38d547b65da8} - "E:\AutoRun.exe" 
HKU\S-1-5-21-1516987187-1837558464-3178417824-500\...\MountPoints2: {8a4239a3-0c6d-11eb-893a-38d547b65da8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1516987187-1837558464-3178417824-500\...\MountPoints2: {8a423cb5-0c6d-11eb-893a-38d547b65da8} - "G:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1516987187-1837558464-3178417824-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1516987187-1837558464-3178417824-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
2021-07-03 08:30 - 2021-07-21 08:54 - 000000000 ____D C:\ProgramData\RobotDemo
2021-06-27 08:39 - 2021-06-27 08:39 - 000000000 ____D C:\ProgramData\CSGOCalc
uBlock Pro - #1 Adblocker 1.0.0.0 (HKLM-x32\...\{295066fd-a120-46b4-ab8d-9e6a0af4e6db}) (Version: 1.0.0.0 - uBlock Pro) Hidden
AlternateDataStreams: C:\Users\Администратор\Desktop\skan.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
AlternateDataStreams: C:\Users\Администратор\Desktop\skan.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
FirewallRules: [{95D81D9E-7B39-4C56-9BA5-B8CABC1D21E9}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{12075F33-0EA6-4D02-B6EE-33CA74A5D6EB}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появится скрытый ранее

uBlock Pro - #1 Adblocker 1.0.0.0

Удалите. Будет "сопротивляться", удалите принудительно через Geek Uninstaller

@Wynns · 21.07.2021, 11:21 **[ТС]**

uBlock Pro - #1 Adblocker 1.0.0.0 удалил

@Sandor · 21.07.2021, 11:25

Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Wynns · 21.07.2021, 11:37 **[ТС]**

Спасибо, после перезагрузки уведомлений от антивируса больше не было.

@Sandor · 21.07.2021, 11:47

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.55.17763.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB5003646 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual Studio Code (User) v.1.54.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.60 v.5.60 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.5 v.4.3.5 Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Mega Codec Pack 14.3.0 v.14.3.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.22) - Russian v.11.0.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Читайте Рекомендации после удаления вредоносного ПО

Новые блоги и статьи Все статьи Все блоги /
Уведомление о неверно выбранном значении справочника Maks 06.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "НарядПутевка", разработанного в конфигурации КА2. Задача: уведомлять пользователя, если в документе выбран неверный склад. . .	Установка Qt Creator для C и C++: ставим среду, CMake и MinGW без фреймворка Qt 8Observer8 05.04.2026 Среду разработки Qt Creator можно установить без фреймворка Qt. Есть отдельный репозиторий для этой среды: https:/ / github. com/ qt-creator/ qt-creator, где можно скачать установщик, на вкладке Releases:. . .	AkelPad-скрипты, структуры, и немного лирики.. testuser2 05.04.2026 Такая программа, как AkelPad существует уже давно, и также давно существуют скрипты под нее. Тем не менее, прога живет, периодически что-то не спеша дополняется, улучшается. Что меня в первую очередь. . .	Отображение реквизитов в документе по условию и контроль их заполнения Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "ПланированиеСпецтехники", разработанного в конфигурации КА2. Данный документ берёт данные из другого нетипового документа. . .
Фото всей Земли с борта корабля Orion миссии Artemis II kumehtar 04.04.2026 Это первое подобное фото сделанное человеком за 50 лет. Снимок называют новым вариантом легендарной фотографии «The Blue Marble» 1972 года, сделанной с борта корабля «Аполлон-17». Новое фото. . .	Вывод диалогового окна перед закрытием, если документ не проведён Maks 04.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: реализовать программный контроль на предмет проведения документа. . .	Программный контроль заполнения реквизитов табличной части документа Maks 02.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "СписаниеМатериалов", разработанного в конфигурации КА2. Задача: 1. Реализовать контроль заполнения реквизита. . .	wmic не является внутренней или внешней командой Maks 02.04.2026 Решение: DISM / Online / Add-Capability / CapabilityName:WMIC~~~~ Отсюда: https:/ / winitpro. ru/ index. php/ 2025/ 02/ 14/ komanda-wmic-ne-naydena/

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	21.07.2021, 11:25
	Если проблема решена, в завершение: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@Sandor 22495 / 15940 / 3089 Регистрация: 08.10.2012 Сообщений: 64,950
	21.07.2021, 11:47
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.55.17763.0 Внимание! Скачать обновления Контроль учётных записей пользователя отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB5003646 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Visual Studio Code (User) v.1.54.3 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.60 v.5.60 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- qBittorrent 4.3.5 v.4.3.5 Внимание! Скачать обновления Zona Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- K-Lite Mega Codec Pack 14.3.0 v.14.3.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.22) - Russian v.11.0.22 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Читайте Рекомендации после удаления вредоносного ПО 0