[РЕШЕНО] Куча вредоносных программ (+майнеры?) Фальшивый MalwareBytes

[PuCan 0]

Предыстория:

Две недели назад в браузере Mozila Firefox при запуске системы начал открываться сайт dipladoks.org

Меня это не сильно беспокоило, поэтому я отложил решение данной проблемы на эти самые две недели. 
Спустя две недели я решил эту проблему, отключив процесс всплытия данного сайта при загрузке.
Просканировал систему защитником Windows (полное сканирование) - он ничего не нашёл.
Решил почистить Dr.Web Curelt! и Adwcleaner - они нашли трояны и майнеры. 
Вскоре я решил запустить программу Malwarebytes - он установился, но значка на ярлыке нет. При попытке запуска высвечивается Explorer.exe "Не удаётся получить доступ к объекту, на который ссылается этот ярылк. Отсутствуют необходимые разрешения." При попытке узнать расположение данной программы по ярлыку высвечивается тоже самое и открывается проводник по пути Этот компьютер - Windows (C:) - Пользователи - Общие - Общий рабочий стол - Данный ярлык
Пробовал переустанавливать эту программу - устанавливает, но на рабочем столе тот же ярлык без значка. Я пробовал установку без интернета - установщик прерывался где-то на середине. Пробовал установить Malwarebytes с других носителей, изменяя название установщика, добавляя различные расширения в названии (так советовали в интернете) - бесполезно.

MalwareBytes нельзя удалить - так как при удалении через меню  пуск выясняется, что программа уже удалена и предлагается только исключить программу из списка компонентов - такая вот ошибка.
Потом я обновил Windows ( не версию, просто обновления) в надежде на то, что защитник сможет вычислить что это вредит. Но нет, в дальнейшем он также перестал находить что-то.

Так как я не знал, что делать, то решил откатить ПК к исходному состоянию, удалив всё и установив ОС заново. Однако всплыло окно "Возникла проблема с возвратом компьютера в исходное состояние. Не было выполнено никаких изменений"
Ознакомился с правилами на данном форуме и вот что я сделал:

Проверка ПК
KVRT (Скриншот результата) - https://ibb.co/YZZCJsn

KVRT (Скриншот того, что нашёл в карантине) - https://ibb.co/wBxf14z
Dr.Web Curelt! (Скриншот результата) - https://ibb.co/p44cwXK - всё найденное переместил в карантин

 

Дальше я не стал скачивать и запускать автоматический сборщик логов, так как я не могу выполнить обязательное условие - отключение антивируса. Прям вот совсем недавно оказывается что-то вытеснило мой защитник Windows и начало работать под видом антивируса MalwareBytes (На скриншоте видно - https://ibb.co/gWG759R ) - "открыть приложение" не работает и я не знаю как это отключить.

Что мне делать теперь? До того, как я пришёл на форум я запускал вышеописанные программы - они находили и трояны, и биткоин майнеры, и шпионы за клавиатурой, и программы для показа рекламы, в общем полный винегрет. И всё потому, что я всё это время доверял защитнику Windows, который, как оказалось, не такой уж и полезный.

У меня Windows 10.

 

[thyrex 1 407]

Здравствуйте.
Порядок оформления запроса о по-мощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Антивирус можете не отключать.

[PuCan 0]

58 минут назад, thyrex сказал:

Здравствуйте.
Порядок оформления запроса о по-мощи.
Логи прикрепите к следующему сообщению в данной теме.
 

Антивирус можете не отключать.

Он у меня проверил два браузера - Firefox и Internet Explorer, хотя у меня ещё стоят Opera и Microsoft Edge. Ещё там было написано, что будет действовать второй скрипт, произойдёт перезагрузка. Однако у меня получился этот лог и всё.

CollectionLog-2022.08.18-12.56.zip

[regist 618]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.

 

+ не надо заниматься оверквотингом.

Изменено 18 августа, 2022 пользователем regist

[PuCan 0]

17 минут назад, regist сказал:

Скачайте AV block remover...

Скачал и прикрепил. Автологер выдал ошибку - https://ibb.co/JkNN8VM

AV_block_remove_2022.08.18-15.02.rar

[regist 618]

2 минуты назад, PuCan сказал:

Автологер выдал ошибку - https://ibb.co/JkNN8VM

наверно запускали его до лечения AVbr - попробуйте ещё раз.

[PuCan 0]

1 минуту назад, regist сказал:

наверно запускали его до лечения AVbr - попробуйте ещё раз.

я всё делал по инструкции. Сейчас вылезло тоже самое.

[regist 618]

По инструкции антивирус надо отключать, отключали? Судя по тому, что нет доступа он и блокирует.

[PuCan 0]

20 часов назад, regist сказал:

По инструкции антивирус надо отключать, отключали? Судя по тому, что нет доступа он и блокирует.

Я выше писал, что у меня MalwareBytes работает, который нельзя отключить. Я подробно описывал, что его нельзя ни удалить, ни отключить, я один пользователь, у меня права администратора, но когда хочу узнать местоположение программы у меня пишется, что прав нет. Когда хочу удалить, пишется, что она удалена. А в качестве антивируса включен этот самый MalwareBytes, который в этом самом разделе защиты нельзя отключить.

+ Вы обвиняете меня в графоманстве, однако я пишу по делу и максимально подробно описываю проблему. Всё что я пишу - это разве не важная информация? В правилах написано, что нужно подробно описывать проблему для более качественной помощи. Тем более, у меня не всё работает, из предложенного выше. Что мне остаётся? Если я вас так раздражаю - можете не отвечать. Мне никто ничего не должен.

 

18.08.2022 в 14:52, regist сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.

 

+ не надо заниматься оверквотингом.

Не без труда удалось отключить MalwareBytes на другом форуме. Сейчас выключен и он и защитник. Получил новый отчёт и наконец-то удалось собрать лог.

AV_block_remove_2022.08.19-08.48.log CollectionLog-2022.08.19-08.53.zip

[thyrex 1 407]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[PuCan 0]

19 минут назад, thyrex сказал:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
 

С первого раза эти отчёты у меня вообще  не создались. Только со второго.

Архив WinRAR (2).rar

[thyrex 1 407]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM-x32\...\Run: [] => [X]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [TCP Query User{E63CEAD0-DDBF-4BD9-8961-EA98D17A8FD3}C:\counter-strike 1.6\hl.exe] => (Allow) C:\counter-strike 1.6\hl.exe => Нет файла
FirewallRules: [UDP Query User{36A83BB3-9D91-4E31-B5F4-0771DAC95333}C:\counter-strike 1.6\hl.exe] => (Allow) C:\counter-strike 1.6\hl.exe => Нет файла
FirewallRules: [{FF8CF889-D0D3-4C75-9773-7AF9BC3C6620}] => (Block) C:\counter-strike 1.6\hl.exe => Нет файла
FirewallRules: [{007D369A-C84C-442D-B3B3-EC46A22D86CD}] => (Block) C:\counter-strike 1.6\hl.exe => Нет файла
FirewallRules: [{DA36D78D-FE99-4C3F-8A13-3940EF84A35F}] => (Allow) C:\Users\ПК\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{5AAB26B8-46C0-4B4D-9217-CCD419ED32AB}] => (Allow) C:\Users\ПК\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{31563B40-83C9-450C-AC31-AE23A7762336}C:\users\пк\desktop\quake 2\q2ded.exe] => (Allow) C:\users\пк\desktop\quake 2\q2ded.exe => Нет файла
FirewallRules: [UDP Query User{ACCCD010-10AE-47F8-B7E8-BD3BB3BEE86F}C:\users\пк\desktop\quake 2\q2ded.exe] => (Allow) C:\users\пк\desktop\quake 2\q2ded.exe => Нет файла
FirewallRules: [TCP Query User{C923839E-2ABA-4CCC-BDA3-D832C4CDDF49}C:\games\grand theft auto v\gta5.exe] => (Allow) C:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{3645D2D9-5C43-45E4-AA5C-29DA45E27A92}C:\games\grand theft auto v\gta5.exe] => (Allow) C:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [TCP Query User{F2FD40CC-1F1F-44A4-961D-6A969B4D5AFD}C:\games\c&c red alert 2 - reborn 2.1\gamemd.exe] => (Allow) C:\games\c&c red alert 2 - reborn 2.1\gamemd.exe => Нет файла
FirewallRules: [UDP Query User{2DFDC592-7F3C-4BE4-AB55-01A7D13B7980}C:\games\c&c red alert 2 - reborn 2.1\gamemd.exe] => (Allow) C:\games\c&c red alert 2 - reborn 2.1\gamemd.exe => Нет файла
FirewallRules: [TCP Query User{DDB34B03-54E4-4105-B212-0B9C65AD5575}C:\games\counter-strike-source-v-92\hl2.exe] => (Block) C:\games\counter-strike-source-v-92\hl2.exe => Нет файла
FirewallRules: [UDP Query User{2ACEBE12-6EB0-45CE-A936-39D66231E7FB}C:\games\counter-strike-source-v-92\hl2.exe] => (Block) C:\games\counter-strike-source-v-92\hl2.exe => Нет файла
FirewallRules: [TCP Query User{431D2624-7B76-42B9-887F-596894E0EFEA}C:\users\пк\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\пк\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{5A94644D-148F-4D41-BC33-D1E0D803B4D4}C:\users\пк\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\пк\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{2097C2DD-29A6-458D-BF04-7E93147A9A61}C:\games\far cry 3\bin\farcry3_d3d11.exe] => (Allow) C:\games\far cry 3\bin\farcry3_d3d11.exe => Нет файла
FirewallRules: [UDP Query User{B1B3EFDC-B275-471F-B504-52ADCE8C0D11}C:\games\far cry 3\bin\farcry3_d3d11.exe] => (Allow) C:\games\far cry 3\bin\farcry3_d3d11.exe => Нет файла
FirewallRules: [TCP Query User{3072F3F5-0FD0-494C-B9B3-2F5A1308A5D1}C:\games\far cry 4\bin\farcry4.exe] => (Allow) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [UDP Query User{33DB689E-147D-4BB6-9AD4-2DCFE91356CC}C:\games\far cry 4\bin\farcry4.exe] => (Allow) C:\games\far cry 4\bin\farcry4.exe => Нет файла
FirewallRules: [TCP Query User{457F8410-3F76-4F96-ACA3-D38343C37637}C:\games\counter-strike source\steamcmd\steamcmd.exe] => (Block) C:\games\counter-strike source\steamcmd\steamcmd.exe => Нет файла
FirewallRules: [UDP Query User{21037913-ED05-4D13-A6B1-3F2E59083E83}C:\games\counter-strike source\steamcmd\steamcmd.exe] => (Block) C:\games\counter-strike source\steamcmd\steamcmd.exe => Нет файла
FirewallRules: [TCP Query User{033149FF-C8F5-4B21-8DA3-D9758C395832}C:\games\counter-strike source\hl2.exe] => (Block) C:\games\counter-strike source\hl2.exe => Нет файла
FirewallRules: [UDP Query User{65B784D2-DD7A-4CF4-B056-86E19615D62A}C:\games\counter-strike source\hl2.exe] => (Block) C:\games\counter-strike source\hl2.exe => Нет файла
FirewallRules: [TCP Query User{2EF48ECB-CEA8-4B8B-8B39-2A8E52C6E340}C:\left 4 dead\left4dead.exe] => (Block) C:\left 4 dead\left4dead.exe => Нет файла
FirewallRules: [UDP Query User{F24BBB66-9AD0-43CD-A931-73E744AA3509}C:\left 4 dead\left4dead.exe] => (Block) C:\left 4 dead\left4dead.exe => Нет файла
FirewallRules: [TCP Query User{E32F9919-3CE1-4EE8-B687-A8181F1461D1}C:\left 4 dead 2\left4dead2.exe] => (Block) C:\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [UDP Query User{8A5E1658-7D56-4BF2-AC73-58D2B8110556}C:\left 4 dead 2\left4dead2.exe] => (Block) C:\left 4 dead 2\left4dead2.exe => Нет файла
FirewallRules: [TCP Query User{018674D8-8CD0-4A4B-A2EB-4DE5FA0D0DF3}C:\users\пк\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\пк\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{7CF659B4-F2F1-4B2B-A703-28A5E8D01BA6}C:\users\пк\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\пк\appdata\roaming\.minecraft\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{9F472A2C-9E49-45B6-88AD-1717523B94C8}C:\users\пк\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Block) C:\users\пк\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{307410F0-8880-4442-96C2-4EEF78B66E6F}C:\users\пк\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe] => (Block) C:\users\пк\appdata\roaming\.minecraft\runtime\java-runtime-beta\windows\java-runtime-beta\bin\javaw.exe => Нет файла
FirewallRules: [{3146B5D1-C2EB-4DF6-AD66-C4125AB85831}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{00308149-D8E2-4571-92AA-EC540CF6E29B}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{5D0320F4-9AD7-4502-A681-100107B90F2C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{C411F034-604C-499E-BBD4-53C9E7C4AC20}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{F78A8213-5DB6-4492-A835-992439EB06AB}C:\games\half-life 2 synergy\synergy\hl2.exe] => (Block) C:\games\half-life 2 synergy\synergy\hl2.exe => Нет файла
FirewallRules: [UDP Query User{F37E9257-CAE8-4F6C-A6E4-446A319A6CA0}C:\games\half-life 2 synergy\synergy\hl2.exe] => (Block) C:\games\half-life 2 synergy\synergy\hl2.exe => Нет файла
FirewallRules: [TCP Query User{6B88F34E-DF1A-4027-A7C3-ACF3750E626F}C:\games\need for speed(tm) most wanted\nfs13.exe] => (Block) C:\games\need for speed(tm) most wanted\nfs13.exe => Нет файла
FirewallRules: [UDP Query User{6C11CF86-5DC0-42E7-9884-A02CEBE9BEC3}C:\games\need for speed(tm) most wanted\nfs13.exe] => (Block) C:\games\need for speed(tm) most wanted\nfs13.exe => Нет файла
FirewallRules: [TCP Query User{FA258442-6322-45C7-B9D4-859467116838}C:\games\counter strike 1.6 nextclient\cs_new.exe] => (Allow) C:\games\counter strike 1.6 nextclient\cs_new.exe => Нет файла
FirewallRules: [UDP Query User{0F4C1BF6-D1B2-48AD-A4FF-75C30497AD34}C:\games\counter strike 1.6 nextclient\cs_new.exe] => (Allow) C:\games\counter strike 1.6 nextclient\cs_new.exe => Нет файла
FirewallRules: [TCP Query User{F7A0A96F-F63A-4C49-863F-6F9F1F5906F3}C:\games\counter-strike 1.6 cs-zero\hl.exe] => (Block) C:\games\counter-strike 1.6 cs-zero\hl.exe => Нет файла
FirewallRules: [UDP Query User{4740A303-99F2-4FBA-86EB-8C7D6BAE7203}C:\games\counter-strike 1.6 cs-zero\hl.exe] => (Block) C:\games\counter-strike 1.6 cs-zero\hl.exe => Нет файла
FirewallRules: [TCP Query User{4586697B-ECEB-4152-8D30-DFE82D0833AC}C:\program files (x86)\gta iii - definitive edition\gameface\binaries\win64\libertycity.exe] => (Block) C:\program files (x86)\gta iii - definitive edition\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [UDP Query User{6921C34A-A381-4619-A7F4-9286CF72BE46}C:\program files (x86)\gta iii - definitive edition\gameface\binaries\win64\libertycity.exe] => (Block) C:\program files (x86)\gta iii - definitive edition\gameface\binaries\win64\libertycity.exe => Нет файла
FirewallRules: [TCP Query User{1A47A024-9A3B-42DA-A78A-53B9CEFC0A91}C:\games\counter-strike 1.6 original\hl.exe] => (Allow) C:\games\counter-strike 1.6 original\hl.exe => Нет файла
FirewallRules: [UDP Query User{F7F2D5B7-453A-4E65-8C38-E31659E364E4}C:\games\counter-strike 1.6 original\hl.exe] => (Allow) C:\games\counter-strike 1.6 original\hl.exe => Нет файла
FirewallRules: [TCP Query User{8B4A1643-FCF1-4A92-A345-D1EC35DB2D3D}C:\program files (x86)\counter-strike condition zero 1.2 build 2771\hl.exe] => (Allow) C:\program files (x86)\counter-strike condition zero 1.2 build 2771\hl.exe => Нет файла
FirewallRules: [UDP Query User{68EB24DF-A12B-4FDB-9DE2-F51FA351EF7F}C:\program files (x86)\counter-strike condition zero 1.2 build 2771\hl.exe] => (Allow) C:\program files (x86)\counter-strike condition zero 1.2 build 2771\hl.exe => Нет файла
FirewallRules: [TCP Query User{98865E03-16E8-4A54-8803-166B998EA4AC}C:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Block) C:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Нет файла
FirewallRules: [UDP Query User{C28D4690-C604-4386-926C-1235B6FC5F14}C:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Block) C:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Нет файла
FirewallRules: [TCP Query User{CF45EBBF-395B-481F-A398-0BBEEC24BACE}C:\users\пк\desktop\inertial drift\inertialdrift.exe] => (Block) C:\users\пк\desktop\inertial drift\inertialdrift.exe => Нет файла
FirewallRules: [UDP Query User{19C66B1D-946A-40CC-9FBC-038E442D8547}C:\users\пк\desktop\inertial drift\inertialdrift.exe] => (Block) C:\users\пк\desktop\inertial drift\inertialdrift.exe => Нет файла
FirewallRules: [{0BF6997B-F2E9-4073-8BE9-8ECCA8AB9702}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x86\eurotrucks2.exe => Нет файла
FirewallRules: [{F0080EC2-A4A6-44A8-BAA8-5B721E23F859}] => (Allow) C:\Program Files\Euro Truck Simulator 2bin\win_x64\eurotrucks2.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[PuCan 0]

51 минуту назад, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

[thyrex 1 407]

Мусор почистили. Malwarebytes можете удалить, если он был установлен без Вашего ведома.

[PuCan 0]

4 часа назад, thyrex сказал:

Мусор почистили. Malwarebytes можете удалить, если он был установлен без Вашего ведома.

Сейчас запустил Dr.Web Curelt!, KVRT и adw-cleaner. Первые два на этот раз ничего не нашли. Adw cleaner нашёл вирус.
В общем, мне удалять все элементы из карантина этих трёх программ? В карантине каждой имеются эти элементы. Вот скриншоты.

 

MalwareBytes я скачивал сам. У ярлыка программы теперь появился значок. Теперь я могу открыть расположение программы, но высвечивается: Unable to Connect to the Service. Также я не могу у этой программы найти деинсталятор, а программа Malwarebytes Support Tool, которая предназначается для удаления, не помогает. Как мне удалить эту программу?