[РЕШЕНО] Очистка от остатков когда-либо бывшего вред. ПО и мусора на ноутбуке

[NikitaDob 5]

Здравствуйте снова. Имеется старенький ноутбук TOSHIBA. На нём давно ещё была куча зловредов, которые я самостоятельно почистил при помощи утилит и антивируса Dr.Web SS (тогда я еще не знал о существовании этого прекрасного форума). Теперь же я понимаю, что моих действий недостаточно, и обращаюсь сюда. Хотелось бы очистить его от остатков вирусов, от мусора и провести так сказать небольшое обслуживание (по типу сканирования целостности системных файлов, диска и прочего). Имеются проблемы с ассоциацией и папкой "Program Files" и папкой "Program Files (x86)". В этих папка нельзя ничего создать, кроме папок (и то от имени админа), а также у них неубираемый атрибут "Только для чтения", при применении изменений этот атрибут возвращается, и появляются трудности в создании каких-либо файлов в этих двух папках (возможно и с другими какими-то папками такие проблемы), например, чтобы создать текстовый файл в папке WinRAR, мне пришлось сначало создавать его в другой папке, а уже потом переносить его в эту папку (и то запросило права администратора для перемещения). Прикрепляю логи Collection и FRST (P.S. Тема может затянуться надолго, так как доступ к ноутбуку у меня не всегда имеется + интернет в месте, где я нахожусь не очень, мягко говоря).

FRST.txt Addition.txt CollectionLog-2022.10.13-10.03.zip

Изменено 13 октября, 2022 пользователем NikitaDob
Дополнил

[Sandor 1 201]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

 

Adobe Flash Player 19 NPAPI

Adobe Shockwave Player + Authorware Web Player

VKMusic 4

 

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '');
 QuarantineFile('C:\Users\ОРА\AppData\Local\Adobe\PPAPI\8A1A3C60-697A-4086-8E0A-39C6B558B1FA\2C09B775-99CD-4536-A915-A5C180DB3B8C.exe', '');
 QuarantineFile('C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ора\appdata\local\adobe\ppapi\8a1a3c60-697a-4086-8e0a-39c6b558b1fa', '*', true, '', 0 , 0);
 QuarantineFileF('c:\users\ора\appdata\local\microsoft\extensions', '*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\extsetup');
 DeleteSchedulerTask('Microsoft\KRBUUS\KRB Updater Utility Service');
 DeleteSchedulerTask('Microsoft\SafeBrowser');
 DeleteSchedulerTask('Microsoft\Windows\8A1A3C60-697A-4086-8E0A-39C6B558B1FA');
 DeleteSchedulerTask('Microsoft\Windows\A8A1A3C60-697A-4086-8E0A-39C6B558B1FA');
 DeleteSchedulerTask('Microsoft\Windows\extsetup');
 DeleteSchedulerTask('Microsoft\Windows\SafeBrowser');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Uninstaller_SkipUac_ОРА');
 DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe', '64');
 DeleteFile('C:\Users\ОРА\AppData\Local\Adobe\PPAPI\8A1A3C60-697A-4086-8E0A-39C6B558B1FA\2C09B775-99CD-4536-A915-A5C180DB3B8C.exe', '64');
 DeleteFile('C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe', '64');
 DeleteFile('C:\Windows\svchost.exe', '64');
 DeleteFileMask('c:\programdata\krb updater utility', '*', true);
 DeleteFileMask('c:\users\ора\appdata\local\microsoft\extensions', '*', true);
 DeleteDirectory('c:\programdata\krb updater utility');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[NikitaDob 5]

Спасибо за оперативный ответ. Выполнил скрипт (обновления задрали, в самый ненужный момент начали установку). Адобы удалил, а вот VKMusic не могу - он нужен. Но если подскажете хороший аналог, который не будет входить в список нежелательного ПО, то с радостью удалю и поставлю другой. Новый лог прикрепляю.

CollectionLog-2022.10.13-12.12.zip

[Sandor 1 201]

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis (только следующее):

O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\
O22 - Tasks: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43da-BFD7-FBEEA2180A1E} - (no file)
O22 - Tasks: SwiftSearch Auto Updater 1.10.0.25 Core - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe checkupdate (file missing)
O22 - Tasks: SwiftSearch Auto Updater 1.10.0.25 Pending Update - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe update (file missing)
O22 - Tasks_Migrated: (damaged) SwiftSearch Auto Updater 1.10.0.25 Core - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe checkupdate (file missing) (user missing)
O22 - Tasks_Migrated: (damaged) SwiftSearch Auto Updater 1.10.0.25 Pending Update - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe update (file missing) (user missing)
O22 - Tasks_Migrated: \AVAST Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\Overseer.exe /from_scheduler:1 (file missing)
O22 - Tasks_Migrated: \Microsoft\extsetup - C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe /S --setresetup (file missing)
O22 - Tasks_Migrated: \Microsoft\KRBUUS\KRB Updater Utility Service - C:\ProgramData\KRB Updater Utility\krbupdater-utility.exe /S (file missing)
O22 - Tasks_Migrated: \Microsoft\SafeBrowser - C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe /S --safebrowser (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\8A1A3C60-697A-4086-8E0A-39C6B558B1FA - C:\Users\ОРА\AppData\Local\Adobe\PPAPI\8A1A3C60-697A-4086-8E0A-39C6B558B1FA\2C09B775-99CD-4536-A915-A5C180DB3B8C.exe --getinstall-ppapi-plugin (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\A8A1A3C60-697A-4086-8E0A-39C6B558B1FA - C:\Users\ОРА\AppData\Local\Adobe\PPAPI\8A1A3C60-697A-4086-8E0A-39C6B558B1FA\2C09B775-99CD-4536-A915-A5C180DB3B8C.exe --getinstall-ppapi-plugin (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\extsetup - C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe /S --setresetup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SafeBrowser - C:\Users\ОРА\AppData\Local\Microsoft\Extensions\extsetup.exe /S --safebrowser (file missing)
O22 - Tasks_Migrated: {2283CE90-2579-4964-9A43-7045229A894E} - D:\Games\Sims 4\Game\Bin\TS4_x64.exe (file missing)
O22 - Tasks_Migrated: {9070828B-E9F9-4E34-9932-CC3A88C6822E} - D:\Games\Sims 4\Game\Bin\TS4_x64.exe (file missing)
O22 - Tasks_Migrated: {AAF77FAB-8C7D-402B-920A-CB96C7609C63} - D:\Games\Sims 4\Game\Bin\TS4_x64.exe (file missing)
O22 - Tasks_Migrated: {C37ADB62-910A-4667-BAE0-F6C483743AB7} - D:\Games\Sims 4\Game\Bin\TS4_x64.exe (file missing)
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (file missing)
O22 - Tasks_Migrated: SwiftSearch Auto Updater 1.10.0.25 Core - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe checkupdate (file missing)
O22 - Tasks_Migrated: SwiftSearch Auto Updater 1.10.0.25 Pending Update - C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe update (file missing)

 

 

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[NikitaDob 5]

Всё сделал по инструкции.

FRST.txt Addition.txt

[Sandor 1 201]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116]
  AlternateDataStreams: C:\ProgramData\TEMP:ADF211B1 [202]
  FirewallRules: [{4A25F32B-66F8-4836-9F3E-F3187AAF834D}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{780E2205-4FB2-4BCF-99DB-09C8CD4CF3A8}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
  FirewallRules: [{DE5CCE8A-C620-4770-8851-43FF5B2FC103}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷档潲敭牤癩牥攮數 => Нет файла
  FirewallRules: [{5B114BC5-ECBE-48AC-B6C3-25F4E4636685}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{1FC72573-DFE0-4BD5-B578-4E6C6F0AFAC3}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{4BFE7D4D-2D1B-488B-BE35-047EE65ECABF}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{A03FECC5-5C5C-4DE0-AB56-A368637C4FFA}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{16726065-74DE-48B3-BA69-24D9D1DFD785}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{A4C09832-41F6-4408-B931-49952F6163DB}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{DB3CF0FA-134B-4C5D-98D7-4BEC4497C453}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{EAD6E8BE-15C6-43F9-A04B-FBC6AEF58FD9}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{0BDE649B-AF5E-4C6C-B38C-6F6B8152458B}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{FDD53E8C-E821-4F47-889B-AA08D79EB831}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{DEC758FA-9400-4FED-B9A0-FABEB4D5089E}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{1E5E1C6F-8E33-4E47-82EF-0EF44013E7F3}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{92E2DE80-FEB3-4B82-9E4F-FBBC5B82B70A}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{DDFFF576-7185-49FF-8682-F076AD58ADE4}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥⹕硥e => Нет файла
  FirewallRules: [{06977EC9-FD41-4F36-96F2-66547FC3AFC0}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮癜敩屷楶睥攮數 => Нет файла
  FirewallRules: [{52328631-CB33-4599-83D2-038E7C26C118}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e => Нет файла
  FirewallRules: [{D5E6AD71-CAAA-445F-9144-9E7E7DF89549}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮獜湳獜湳攮數 => Нет файла
  FirewallRules: [{F482B5D0-56FA-42B3-BA1C-097A93E0F7FA}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮獜湳獜癡略⹰硥e => Нет файла
  FirewallRules: [{E0BFAF04-599B-4A48-94C8-1ABE565F27DB}] => (Allow) 㩃啜敳獲친샐䅜灰慄慴剜慯業杮獜湳獜湳攮數 => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[NikitaDob 5]

Fixlog.txt

[Sandor 1 201]

Хорошо. Как себя сейчас ведёт система?

[NikitaDob 5]

Впринципе, всё отлично (примерно как и до этих манипуляций, может чуть быстрее стало). Однако всё-также осталась проблема с Program Files и Program Files (x86), я описывал её ранее (атрибут "Только для чтения" также стоит и не убирается, внутри этих папок и других папок, которые находятся в этих двух по прежнему можно создать только новую папку, и то от имени администратора, перемещение каких-либо файлов в эти две папки и другие папки, находящиеся в этих тоже опять же только с правами администратора), + осталась проблема с ассоциациями файлов, например, справка Dr.Web (.chm) не открывается, предлагает открыть с помощью Hamster PDF Reader, которого уже нет на ноутбуке давным-давно. А больше ничем не открывается (на другом ноутбуке справка открывается стандартным приложением, а тут нет). Как можно решить эти две проблемы? 

Изменено 13 октября, 2022 пользователем NikitaDob

[Sandor 1 201]

По папкам Program Files - на мой взгляд, нормальное поведение. Обычному пользователю там и нечего делать без прав администратора.

По ассоциациям, посоветуйтесь в соседнем разделе.

 

В завершение по нашей части:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Изменено 13 октября, 2022 пользователем Sandor

[NikitaDob 5]

SecurityCheck.txt

[Sandor 1 201]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
TeamViewer v.15.2.2756 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer, версия 5.3 v.5.3 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype™ 7.29 v.7.29.102 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.1 v.4.4.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
VKMusic 4 v.4.83.2 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[NikitaDob 5]

Тему в соседнем разделе создам попозже, спасибо вам большое за помощь!

[regist 617]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".