Лечение вируса LEAJ.exe - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - Лечение вируса LEAJ.exe (http://forum.oszone.net/showthread.php?t=354191)

Лечение вируса LEAJ.exe

Доброго времени суток, поймал вирус LEAJ.exe. При запуске компьютера, открывает много папок temp, пытался удалить его по расположению файла, открывает еще какой то файл в txt, пользовался adwcleaner и drweb, хотя бы перестало так много и часто открывать вкладки браузера, но все равно вирус не ушёл, прикрепляю сюда логи. Файл 168931

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

 ClearQuarantineEx(true);

 TerminateProcessByName('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe');

 QuarantineFile('C:\ProgramData\PostClear\PostClear.bat', '');

 QuarantineFile('C:\ProgramData\presepuesto\LEAJ.exe', '');

 QuarantineFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '');

 QuarantineFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');

 QuarantineFileF('C:\Users\Данил\AppData\Local\Temp\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);

 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-4061180388-1244058595-1494617467-1001');

 DeleteSchedulerTask('kiiwijandpqceppji.exe');

 DeleteSchedulerTask('LEAJ');

 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '32');

 DeleteFile('C:\ProgramData\PostClear\PostClear.bat', '64');

 DeleteFile('C:\ProgramData\presepuesto\LEAJ.exe', '64');

 DeleteFile('C:\Users\Данил\AppData\Local\Programs\ivanovsasha224\2da148712a.msi', '64');

 DeleteFile('c:\users\Данил\appdata\local\temp\kiiwijandpqceppji.exe', '');

 DeleteFile('C:\Users\Данил\AppData\Local\Temp\kiiwijandpqceppji.exe', '64');

 DeleteFileMask('C:\Users\Данил\AppData\Local\Temp\', '*', true);

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '32');

 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDriveSetup', '64');

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

ExecuteSysClean;

 ExecuteWizard('SCU', 2, 3, true);

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

 DeleteFile(GetAVZDirectory+'quarantine.7z');

 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Здравствуйте, отослал вам на почту quarantine.7z. Сюда прикрепляю повторный лог.Файл 168947

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:

 begin

ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);

if not IsWOW64

 then

  begin

  SearchRootkit(true, true);

  SetAVZGuardStatus(True);

  end;

 QuarantineFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','');

 QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','');

 QuarantineFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','');

 DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\chkdsk\ntfs.exe','32');

 DeleteFile('c:\users\Данил\appdata\roaming\microsoft\defragmentation\optimization.exe','32');

 DeleteFile('C:\Users\Данил\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe','64');

 DeleteSchedulerTask('ProactiveScan');

   BC_Activate;

  ExecuteSysClean;

  ExecuteWizard('SCU', 2, 3, true);

 BC_ImportALL;

RebootWindows(true);

end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin

DeleteFile(GetAVZDirectory+'quarantine.7z');

ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);

end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)

O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Здравствуйте, был в командировке. Вот FRST.TXT И ADDITION.Txt, q[ATTACH]Файл 169003[/ATTACH]uarantine.7z отправил вам по форме

Здравствуйте, отправил вам quarantine.7z по форме, прикрепляю сюда FRST и Addition. Извиняюсь что долго не отвечал, отсутствовал из пк. Файл 169004 Файл 169005

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ Startup: C:\Users\Данил\AppData\Local\Temp\\117b9921-fec9-44fd-b24a-d76feabb61eb.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\1E60447A-56890C16-259C4273-6CE10850 [] Startup: C:\Users\Данил\AppData\Local\Temp\\347b6f84-eece-4259-9032-87e267a80af7.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\48295c9a-fccd-446e-8d0e-6ee94846e619.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\4af3d223-ae32-4204-b1dc-9a6d634ebb36.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\653668cc-f19e-4ab6-b8d8-0a8c0cc4e8e3.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\7a04c50b-d28f-41f3-841c-55744765d2e0.tmp [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\ac113dfc-0947-4ec5-a846-f96777c4de4e.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\af84b976-564c-4a30-a9cc-17f99b8ed637.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\c543b2b6-f21d-4428-b377-1b049ce7b61f.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\c7abb1a0-daa3-4694-a2e2-597e2a48746a.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\d7864817-2562-47e2-b4f7-3e4cd02c2acd.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\d929e48a-a351-476b-a45b-52c96eab15b1.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601.log [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_000_vcRuntimeMinimum_x64.log [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212601_001_vcRuntimeAdditional_x64.log [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\dd_vcredist_amd64_20230918212606.log [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\de11d0aa-0e20-4cf2-b485-d7b7de4479b9.tmp [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\E9F8DC40-9D83-4F9B-A469-DB34880AB4B5.Diagnose.Admin.0.etl [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-1-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-2-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-3-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-4-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\qtsingleapp-Viber-0-5-lockfile [] () <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)] Startup: C:\Users\Данил\AppData\Local\Temp\\RarSFX0 [] Startup: C:\Users\Данил\AppData\Local\Temp\\scoped_dir9896_546502781 [] Startup: C:\Users\Данил\AppData\Local\Temp\\Turn10Temp.scratch [] Startup: C:\Users\Данил\AppData\Local\Temp\\UTPS [] Startup: C:\Users\Данил\AppData\Local\Temp\\UTPSInstall.log [] () [Файл не подписан] Startup: C:\Users\Данил\AppData\Local\Temp\\yandex_browser_updater.log [] () [Файл не подписан] Task: {74477C02-D3AF-4FAD-A29B-AF5EBAAF7A36} - \profiles-preserve -> Нет файла <==== ВНИМАНИЕ C:\Users\Данил\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh CHR HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-4061180388-1244058595-1494617467-1001\...\{a70eb8c9-1fe8-46ac-ba86-c73ed99c12c1}) (Version: 1.0.0.0 - ivanovsasha224) Hidden AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [684] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [684] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [684] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [684] AlternateDataStreams: C:\ProgramData\droidcam-settings:3FFAD04353 [3442] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [684] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:718E15FDE8 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3442] AlternateDataStreams: C:\Users\Данил\Application Data:NT [40] AlternateDataStreams: C:\Users\Данил\Application Data:NT2 [684] AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Данил\AppData\Roaming:NT2 [684] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Доустановите недостающие драйверы.

здравствуйте, куда вводить этот код, запутался(

Действуйте как написано:
- выделите код
- скопируйте
- запустите FRST64.exe
- нажмите "Исправить"

Скрипт будет выполнен из буфера обмена (вставлять никуда не нужно).

Здравствуйте, разобрался. Скидываю сюда fixlog.txt Файл 169027

Вроде как помогло, сам LEAJ.EXE давно ушел, но цп нагружало, чувствовались лаги, но папки темп и файлы в ней вроде после перезагрузки не открывались больше

Вроде как помогло, вроде после 1-2 этапа уже пропало как раз LEAJ.EXE. И после последней процедуры, после перезагрузки папка темп и файлы в ней больше не открывались при запуске.

Хорошо, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Спасибо вам огромное за помощь! выполнил пункты

Файл SecurityCheck.txt прикрепите, пожалуйста, к следующему сообщению.