[РЕШЕНО] Остались следы после удаления вирусов

[highmind]

Здравствуйте, помогите пожалуйста найти и почистить следы после вирусняка.
Подцепил вирус на одном из сайтов с репаками игр (ткнул неверную кнопку скачать), установил скачанное приложение но потом уже заподозрил неладное, проверил экзешник на вирустотале и обнаружил в нем трояны. Сразу же удалил установленную "игру" и попытался скачать dr web cureit, но вирус мешал (зависал браузер при попытке зайти на сайты антивиров). Затем получилось скинуть на комп через файлообменник утилиту др веба и начать сканирование. Нашло несколько угроз и пару майнеров которые он удалил, но осталось несколько проблем: не давало зайти на конкретные сайты (показывало ошибку днс), не было видно файла hosts, в дефендере винды были исключения которые никак нельзя было удалить и не работала система восстановления (ошибка 0x81000203). После этого проверял автономным дефендером винды, но он ничего не нашёл.

 

Затем решил проверить компьютер другой утилитой - kaspersky removal tool (который кстати не открывался, пока его не переименовал), он справился лучше - открыл мне доступ к файлу хостс и подтёр еще пару файлов.

После этого в файле хостс я руками удалил всё лишнее (именно он мне мешал заходить на сайты антивиров) и с помощью реестра смог таки убрать исключения из дефендера (по пути HKEY_LOCAL_MACHINE > SOFTWARE > Policies > Microsoft > Windows Defender > Exclusions).

Также воспользовался программой AVZ и CCleaner.

После всех манипуляций собрал лог автологгером (прикрепил).

 

Что беспокоит на данный момент: всё еще не работает служба восстановления винды и есть подозрение, что вирус еще где-то сидит и не до конца уничтожен.
 

CollectionLog-2022.08.13-21.39.zip

Изменено 13 августа, 2022 пользователем highmind

[highmind]

Также обнаружил еще один симптом - не устанавливается Malwarebytes. Скачал с оригинального сайта установщик, установка проходит нормально, но в конце установки просто появляется ярлык к несуществующей директории. То есть установщик показывает что установка идет, а на деле папки в нужном месте даже не появляется.

Причем Total Commander эту папку видит, но зайти в неё не получается.

 

Да и в целом много папок с названиями различных антивирусов, в которые нельзя попасть. Я эти антивирусы никогда не устанавливал, винда новая (примерно 2 месяца ей). Такие же папки с названиями антивирусов лежат и в директории c:\ProgramData

Изменено 13 августа, 2022 пользователем highmind

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером.

[highmind]

AV_block_remove_2022.08.13-23.06.log CollectionLog-2022.08.13-23.15.zip

 

Стала видна папка Malwarebytes и пропали скрытые папки с названиями антивирусов.

 

Upd. Также исчезла ошибка с восстановлением системы 

Изменено 13 августа, 2022 пользователем highmind

[thyrex]

1 час назад, highmind сказал:

Стала видна папка Malwarebytes

Но запустить из нее ничего не можете?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[highmind]

12 минут назад, thyrex сказал:

Но запустить из нее ничего не можете?

Всё без проблем запустилось)

Ещё забыл добавить, что при проверке AV Remover был удалён пользователь John.

FRSTtxtAdditiontxt.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\AdsPower.lnk [2022-06-07]
ShortcutTarget: AdsPower.lnk -> C:\Program Files\AdsPower Global\AdsPower.exe (Нет файла)                                                           Task: {8DB0A0BC-5DEB-4E3A-A190-5F08D5B2A45E} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe do-task "308046B0AF4A39CB"
Task: {5122485B-3510-46F6-935A-8D1B82FC1A47} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [286]
AlternateDataStreams: C:\Users\ssdan\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\ssdan\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\ssdan\AppData\Local\Temp:$DATA [16]
FirewallRules: [TCP Query User{698EB424-7311-4287-A961-6A81156B93B1}D:\moontrader\moontrader.exe] => (Allow) D:\moontrader\moontrader.exe => Нет файла
FirewallRules: [UDP Query User{C6C82205-6D8B-415F-97FB-EBA8F7E69FA7}D:\moontrader\moontrader.exe] => (Allow) D:\moontrader\moontrader.exe => Нет файла
FirewallRules: [TCP Query User{144EACD0-E61D-432B-9B49-C3BA22423CC1}D:\moontrader\mtcore.exe] => (Allow) D:\moontrader\mtcore.exe => Нет файла
FirewallRules: [UDP Query User{8CB1ACC3-41FF-482D-86BB-0DA4BE059253}D:\moontrader\mtcore.exe] => (Allow) D:\moontrader\mtcore.exe => Нет файла
FirewallRules: [TCP Query User{2FF2A3D0-1108-45A9-B8CE-B09D3B2F2906}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [UDP Query User{8F29A66C-BFE9-4470-9290-DF6A51828FD2}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [TCP Query User{192C06CA-99C6-4022-AFA9-B3CBDEA650BD}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.15\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.15\starter.exe => Нет файла
FirewallRules: [UDP Query User{84E83709-A09E-4BC1-A3EC-377EF479981B}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.15\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\c619a077-79e1-4fac-9716-fc9746d9b383\quantower\tradingplatform\v1.124.15\starter.exe => Нет файла
FirewallRules: [TCP Query User{6468ACB5-B13B-46AD-B81D-EAED3358176F}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\270deb92-4cac-44e8-8013-fdb24d99ea35\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\270deb92-4cac-44e8-8013-fdb24d99ea35\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [UDP Query User{4942E72E-0647-473C-9428-941A9BE117CF}C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\270deb92-4cac-44e8-8013-fdb24d99ea35\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\appdata\local\temp\microsoftedgedownloads\270deb92-4cac-44e8-8013-fdb24d99ea35\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [TCP Query User{8DAE79FB-61F5-421A-B311-DF4C11887A6E}C:\users\ssdan\desktop\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\desktop\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [UDP Query User{A93514DC-4EF2-4272-8F8A-B7739660BED3}C:\users\ssdan\desktop\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\users\ssdan\desktop\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [TCP Query User{89DE24F0-F82F-4C28-8380-149A8AC7596C}C:\program files (x86)\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\program files (x86)\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [UDP Query User{A7870947-2FDB-427D-A95D-2397DE757085}C:\program files (x86)\quantower\tradingplatform\v1.124.11\starter.exe] => (Allow) C:\program files (x86)\quantower\tradingplatform\v1.124.11\starter.exe => Нет файла
FirewallRules: [TCP Query User{1BE9514F-60E5-491A-B865-8262AB804879}E:\program files (x86)\steam\steamapps\common\sandstorm\insurgency\binaries\win64\insurgencyclient-win64-shipping.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\sandstorm\insurgency\binaries\win64\insurgencyclient-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{1117B2C9-7419-46F4-98CA-5890580D315C}E:\program files (x86)\steam\steamapps\common\sandstorm\insurgency\binaries\win64\insurgencyclient-win64-shipping.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\sandstorm\insurgency\binaries\win64\insurgencyclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{0CFCD908-E480-409B-8B26-E981CA448725}E:\program files (x86)\steam\steamapps\common\squad\squadgame\binaries\win64\squadgame.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\squad\squadgame\binaries\win64\squadgame.exe => Нет файла
FirewallRules: [UDP Query User{ECFAEBC8-4C7D-40FC-BDC2-849320F13F47}E:\program files (x86)\steam\steamapps\common\squad\squadgame\binaries\win64\squadgame.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\squad\squadgame\binaries\win64\squadgame.exe => Нет файла
FirewallRules: [TCP Query User{39FB3E82-574E-4187-B3FF-9F9CE10536A5}Z:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{6B919F1A-B32B-48F8-81B7-A1228EF7C437}Z:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) Z:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{E0A70982-D964-4A07-85AB-25A16CAD65DB}C:\users\ssdan\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\ssdan\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{84298F13-A8E6-48CE-87F3-8C6753E0D331}C:\users\ssdan\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\ssdan\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [TCP Query User{5654C80D-7145-4203-B102-EC6AB40F70C8}C:\users\ssdan\appdata\roaming\mcskill\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\ssdan\appdata\roaming\mcskill\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{57670F6D-33AD-4C95-814B-3C9C9BB55133}C:\users\ssdan\appdata\roaming\mcskill\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\ssdan\appdata\roaming\mcskill\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{3A4C4ABC-C2BD-45AE-A41C-FAED998E8359}E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\game_x64r.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\game_x64r.exe => Нет файла
FirewallRules: [UDP Query User{D965FE84-C81C-40B5-B743-6CAC8593A278}E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\game_x64r.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\game_x64r.exe => Нет файла
FirewallRules: [TCP Query User{0D085F0F-756D-4344-B240-62B921DB1504}E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\cc\ccmini.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\cc\ccmini.exe => Нет файла
FirewallRules: [UDP Query User{66F05F3B-452D-4FFF-A27C-7D43977BF1B0}E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\cc\ccmini.exe] => (Allow) E:\program files (x86)\steam\steamapps\common\lost light\engine\binaries\win64\cc\ccmini.exe => Нет файла
FirewallRules: [TCP Query User{623DBF34-8694-4F11-85F7-9E83C5BAA66B}E:\games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) E:\games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe => Нет файла
FirewallRules: [UDP Query User{04F478BE-A4BD-4229-BC7B-14E4760C0341}E:\games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe] => (Allow) E:\games\worldwarz\en_us\client\bin\pc\wwzretailegs.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[highmind]

Я так понимаю от вируса мы избавились?)

Fixlog.txt

[thyrex]

Если исходная проблема решена, тогда заканчиваем.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[highmind]

36 минут назад, thyrex сказал:

Если исходная проблема решена, тогда заканчиваем.

Да вроде все проблемы исчезли и следов присутствия вредоносного ПО тоже не вижу)

 

В логах секьюритичека тоже всё хорошо. Благодарю за проявленную помощь и уделенное время!)

 

SecurityCheck.txt

[thyrex]

------------------------------ [ ArchAndFM ] ------------------------------

7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Total Commander 64-bit (Remove or Repair) v.10.00 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.2.0.1 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 89.0.4447.83 v.89.0.4447.83 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

Исправляйте указанное, и на этом закончим.

[highmind]

Ещё раз большое спасибо!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".