Перейти к содержанию

[РЕШЕНО] Лечение после удаление вирусов


Рекомендуемые сообщения

Добрый день! Антивирус Касперского обнаружил вирусы:

  • not-a-virus:HEUR:RemoteAdmin.Win32.RMS.gen
  • not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
  • Trojan.Win32.Bingoml.hnbe
  • not-a-virus:RemoteAdmin.Win32.RDPWrap.h
  • not-a-virus:VHO:RiskTool.Win32.BitCoinMiner.omqt
  • Trojan.Win32.Eb.dsi
  • UDS:Trojan.Win64.Agentb.a

Были успешно удалены/вылечены. 

 

Прошу помочь, такое ощущение, что имеется со стороны подключение к моему домашнему компьютеру. 

 

Прикрепляю логи от AutoLogger

CollectionLog-2023.01.26-19.43.zip

Изменено пользователем Kyzmich_Pavel
Добавил логи AutoLogger
Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Деинсталлируйте Chrome Remote Desktop Host, если сами его не ставили. 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте , запустите AVBR, прикрепите лог утилиты. 

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены как на картинке ниже
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txtв кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {99FB4FAD-86AE-41A9-A135-5D3A126BC4B4} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1841\service_update.exe --repair (Нет файла)
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, mike 1 сказал:

Что с проблемой?

В смысле? 

Вот вирусы были, имеются подозрения, что комп "дырявый" в плане открыты порты, имеются нежелательные подключения и все такое.

 

Собрал как Вы и просили все логи и сделал все рекомендации.

Теперь ожидаю от Вас заключения касательно анализа логов, имеется ли заражение или "следы" вирусов,червей, троянов и прочее. 

 

 

По Журналам Windows имеются Аудит успеха входа на компьютер с кодом 6442 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        DESKTOP-Q3EK3KC$
    Домен учетной записи:        WORKGROUP
    ИД входа:        0x3E7

Сведения о входе:
    Тип входа:        2
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Нет
    Расширенный маркер:        Да

Уровень олицетворения:        Олицетворение

Новый вход:
    ИД безопасности:        DESKTOP-Q3EK3KC\Kyzmich_Pavel
    Имя учетной записи:        Kyzmich_Pavel
    Домен учетной записи:        DESKTOP-Q3EK3KC
    ИД входа:        0x7FDF6
    Связанный ИД входа:        0x7FE23
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x720
    Имя процесса:        C:\Windows\System32\svchost.exe

Сведения о сети:
    Имя рабочей станции:    DESKTOP-Q3EK3KC
    Сетевой адрес источника:    127.0.0.1
    Порт источника:        0

Подробные сведения о проверке подлинности:
    Процесс входа:        User32 
    Пакет проверки подлинности:    Negotiate
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        NULL SID
    Имя учетной записи:        -
    Домен учетной записи:        -
    ИД входа:        0x0

Сведения о входе:
    Тип входа:        0
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Нет
    Расширенный маркер:        Да

Уровень олицетворения:        -

Новый вход:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        СИСТЕМА
    Домен учетной записи:        NT AUTHORITY
    ИД входа:        0x3E7
    Связанный ИД входа:        0x0
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x4
    Имя процесса:        

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Подробные сведения о проверке подлинности:
    Процесс входа:        -
    Пакет проверки подлинности:    -
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Спойлер

Вход в учетную запись выполнен успешно.

Субъект:
    ИД безопасности:        СИСТЕМА
    Имя учетной записи:        DESKTOP-Q3EK3KC$
    Домен учетной записи:        WORKGROUP
    ИД входа:        0x3E7

Сведения о входе:
    Тип входа:        2
    Ограниченный режим администрирования:    -
    Виртуальная учетная запись:        Да
    Расширенный маркер:        Нет

Уровень олицетворения:        Олицетворение

Новый вход:
    ИД безопасности:        S-1-5-90-0-6
    Имя учетной записи:        DWM-6
    Домен учетной записи:        Window Manager
    ИД входа:        0xB8A2BDB
    Связанный ИД входа:        0xB8A2B9C
    Сетевое имя учетной записи:    -
    Сетевой домен учетной записи:    -
    GUID входа:        {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
    ИД процесса:        0x3858
    Имя процесса:        C:\Windows\System32\winlogon.exe

Сведения о сети:
    Имя рабочей станции:    -
    Сетевой адрес источника:    -
    Порт источника:        -

Подробные сведения о проверке подлинности:
    Процесс входа:        Advapi  
    Пакет проверки подлинности:    Negotiate
    Промежуточные службы:    -
    Имя пакета (только NTLM):    -
    Длина ключа:        0

 

 

Может это обычные интерактивные службы ОС и какого-то ПО типа nVIDIA.

 

Прошу помощь так ли это то есть системный некий Аудит входа или "левый"? 

Ссылка на сообщение
Поделиться на другие сайты
20 часов назад, Kyzmich_Pavel сказал:

В смысле?

Следы от майнера были подчищены. По логам плохого не видно. 

 

20 часов назад, Kyzmich_Pavel сказал:

По Журналам Windows имеются Аудит успеха входа на компьютер с кодом 6442 

Это нормальные события в вашем случае. 

 

20 часов назад, Kyzmich_Pavel сказал:

Вот вирусы были, имеются подозрения, что комп "дырявый"

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
22 часа назад, mike 1 сказал:

Следы от майнера были подчищены. По логам плохого не видно. 

 

Это нормальные события в вашем случае. 

 

 

То есть нормально в моем случае? Поясните пожалуйста для "незнающих".

 

Лог прикрепляю.

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

В вашем да. 

 

Цитата

Kaspersky Security Cloud (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Security Cloud (отключен)

Уточните, антивирус сами отключили? 

 

Деинсталлируйте нежелательное ПО - Кнопка "Яндекс" на панели задач v.2.2.2.55

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, mike 1 сказал:

В вашем да. 

То есть я могу спокойным быть касательно логов Аудита на компьютер? 

 

Уточните, антивирус сами отключили? 

Да, антивирус сам отключил на время  работы SecurityCheck

 

Деинсталлируйте нежелательное ПО - Кнопка "Яндекс" на панели задач v.2.2.2.55

Ок.

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • DeMMon
      От DeMMon
      Не удаляется вирус который Kaspersky определил как HEUR:Trojan.Win64.Miner.gen. Ранее удаляемый объект носил наименование CSGOCalc.exe, сейчас FingerPrint.exe, располагаются объекты всегда в папке Program Data в папках с соответствующим названием, антивирус предлагает лечить с перезагрузкой, но после загрузки все опять на месте. Лог приложил
      CollectionLog-2021.07.05-23.01.zip
    • dima_mayd
      От dima_mayd
      Порядка месяца назад обнаружил, что мой ноутбук сильно нагревается. В состоянии простоя температура дискретной видеокарты достигает 52* C, температура же встроенной - 67* C. Причём, именно обе работают из-за какого-то конфликта в BIOS - так получилось, что в мой ноутбук Lenovo запихнули Intel HD (от проца) и дискретку от AMD. И нормально между ними переключаться не получается - при новых версиях дров для AMD экран ноутбука просто-напросто не включается. Зато как только ставишь старую версию - всё более-менее норм, но появляются проблемы с переключением (на текущей версии эта функция присутствует, но мне недоступна - не открывается).
       
      Естественно, при запуске компьютерных игр видеокарты улетают в космос от заоблачных температур. Они явно перешагивают отметку в 100 градусов, и ноутбуку приходится поспешно выключиться, чтобы ничего не сгорело. Эта ситуация меня угнетает, потому что такой проблемы явно не было в 2014-2016, частично 2017 (это я точно помню), хотя проблема с дровами была всегда - и, сдаётся, она именно из-за Windows 8.1. Но я немного не об этом...
      Мне кажется, что я словил майнер в какой-то раздаче, и он пожирает мои ресурсы, словно бешеный. В прошлом году сгорела видюха на десктопе, и я боюсь, что графический адаптер на ноутбуке может повторить ту же участь. Подскажите, как можно решить проблему, если это действительно майнер, а не техническая проблема вроде пересохшей термопасты или сломавшегося кулера.
       
      Проверку с помощью Kaspersky Virus Removal Tool делал - ничего не обнаружено. Логи AutoLogger прикрепляю ниже:
      CollectionLog-2018.04.17-20.09.zip
       
    • silvergoblin
      От silvergoblin
      Здраствуйте! Вирус-шифровальщик зашифровал все документы на компьютере(они все в расшрении da_vinci_code)
      Сам файл вируса назывался csrss.exe. Есть файл вируса и оч много зашифрованных документов)
      Заранее благодарен
      CollectionLog-2016.08.04-13.44.zip
    • vi-ego
      От vi-ego
      Всем добрый день. У меня такая вот проблемка. На днях user  открыл почтовое сообщение в котором было тело вируса и естественно его запустил по незнанию, в результате в течении минуты были зашифрованы все файлы на его рабочей машине. Помогите исправить, как можно дешифровать данные? Все нужные файлы во вложении. Ни в коем случае не запускаем файл с расширением . exe иначе Ваши файлы все зашифруются..
       
       

      Сообщение от модератора Карантин в теме Doc1.doc
×
×
  • Создать...