Trojan:Win64/RootAgent

[Persisting31]

Доброго. Сегодня системный антивирус оповестил о двух угрозах - "VirTool:Win64/Glupteba.A", который заразил файл C:\Windows\System32\drivers\Winmon.sys, и "Trojan:Win64/RootAgent", заразивший C:\Windows\System32\drivers\W inmonProcessMonitor.sys. Glupteba удалился без проблем, а троян антивирус распознает но сделать ничего не может. Файла Winmon в директории почему-то не наблюдается. Заранее спасибо за помощь

CollectionLog-2023.05.06-11.15.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Persisting31]

Сделано

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {3CE3913C-C31E-4512-99D2-F7EB396A9C4A} - System32\Tasks\WpsExternal_Persisting 31_20221113204126 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpscloudsvr.exe /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external (Нет файла)
Task: {89A2DEF1-EAB3-45F9-B3F0-D5418E806E67} - System32\Tasks\WpsUpdateTask_Persisting 31 => C:\Users\Persisting 31\AppData\Local\Kingsoft\WPS Office\11.2.0.11388\office6\wpsupdate.exe -from=task (Нет файла)
Task: {B6A12564-BDB9-48A9-B837-61F266C52517} - System32\Tasks\Opera scheduled Autoupdate 1667919720 => C:\Users\Persisting 31\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: {D74BA0D1-ED92-47D0-AAB4-F70FBF4CC446} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001Core => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
Task: {E86EA9E7-A199-4C61-BC09-7EFA80400501} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
Task: {EE4A7989-9192-4D2E-B0B0-B711EB5424DB} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-4232724201-2535554184-3968986169-1001UA => C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{5EA43877-C6D8-4885-B77A-C0BB27E94372}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{81093D63-7825-417B-BFC8-ADC63FA4E53D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4232724201-2535554184-3968986169-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Persisting 31\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{E7A3150F-C890-4677-B3B9-59A424BFC116}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{04A8D5B3-A5C1-4C6F-A6EA-14DB7D044E1E}C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{6796509A-28C7-449D-B9AF-F556D6A724EE}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{107177C4-5022-4D09-A8D3-60A55E173DB3}] => (Block) C:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{B5BB2C17-9302-4809-86A5-9B63DBABC5C6}] => (Allow) C:\Windows\rss\csrss.exe () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
C:\Windows\rss\csrss.exe
FirewallRules: [TCP Query User{B3253B8E-BFB3-455D-B08C-6709157433B1}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [UDP Query User{5C0F95B4-E671-481B-8576-8FB189C41CF6}C:\!!!\discord-portable\app\app-1.0.9003\discord.exe] => (Allow) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{7A443275-5220-4AE0-9CC4-898A31959BE0}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [{CA093B62-559F-4239-A59D-ED22FC249AA8}] => (Block) C:\!!!\discord-portable\app\app-1.0.9003\discord.exe => Нет файла
FirewallRules: [TCP Query User{82BE708F-15B7-43A3-995D-A7A716003668}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [UDP Query User{A22FC0F5-96BB-49F5-96F5-A33EBB2679D1}C:\games\the binding of isaac - repentance\isaac-ng.exe] => (Allow) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{7BEE7F6E-0D6D-42FA-93E9-9B3FD5245AB4}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{53324620-D0AB-4412-8EC1-0A4C91ACBD35}] => (Block) C:\games\the binding of isaac - repentance\isaac-ng.exe => Нет файла
FirewallRules: [{05CB4072-5FFF-4BCE-BDF7-BC80007C6EE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [{5A020E35-3DBA-4412-8A84-BC5380042DE0}] => (Block) C:\games\worldbox_v0.13.15\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{4C443B76-2770-436F-96CA-572CD2CE24B8}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [UDP Query User{49402B85-DCC4-42DD-9707-2A59A6312CFB}C:\games\hearts of iron iv\hoi4.exe] => (Allow) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{695FE61F-CD1A-4F60-8068-ED7E8E612386}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [{F19B09D4-725A-44F7-8869-E3E1710CF0AE}] => (Block) C:\games\hearts of iron iv\hoi4.exe => Нет файла
FirewallRules: [TCP Query User{7E5FF2F3-C9CA-42A4-B056-44EAAAC6F015}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{C7740D5B-DE17-45D3-B17E-05E0F9097680}C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe] => (Allow) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{BF8ABE7E-94C8-4143-9061-A34E2CD516A7}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [{91EF0AD2-F639-4DF7-B9B1-A871A00EBE92}] => (Block) C:\users\persisting 31\downloads\worldbox_v0.14.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{3A59688C-7201-48FA-9EEC-1BE4C7EB9263}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [UDP Query User{5D85E65F-6538-4F4F-BBD4-FD04C85FEB70}C:\games\teardown v1.1.0\teardown.exe] => (Allow) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{23062F1F-1DA3-457C-9B69-098E42DC1056}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [{79202D8C-1105-4FA4-B2B8-3F9004FE597A}] => (Block) C:\games\teardown v1.1.0\teardown.exe => Нет файла
FirewallRules: [TCP Query User{FF3BB045-E6D1-419A-B47A-B0FE01FEC385}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [UDP Query User{F8A0AAC0-D826-4DF5-9365-FE49DE3469D0}C:\games\doom\doomx64.exe] => (Allow) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{963714CC-FE31-4D12-813C-467EA04B4008}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [{1BAE8974-87EB-46AC-8B46-6107DFA7094C}] => (Block) C:\games\doom\doomx64.exe => Нет файла
FirewallRules: [TCP Query User{A6920BCC-3E7F-4DE9-BB4A-601D2059B293}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [UDP Query User{2206817B-D1FB-4416-B6CC-184B7C923819}C:\games\minecraft dungeons\dungeons.exe] => (Allow) C:\games\minecraft dungeons\dungeons.exe => Нет файла
FirewallRules: [TCP Query User{425E32F6-2A7B-408D-AC3F-B5CA28A4676E}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{56595058-5060-463D-9E80-95BE88068EF9}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{9C7507F2-E8C1-4F26-9CFA-63597A6AFEC6}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [UDP Query User{984FB16E-144E-4045-A428-A912D40E8B5A}C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe] => (Block) C:\users\persisting 31\appdata\local\programs\blockbench\blockbench.exe => Нет файла
FirewallRules: [TCP Query User{D5280673-E804-4EDC-ACA3-D12B22797244}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [UDP Query User{8411CCBD-672B-48FE-952A-4B4E0C859447}C:\games\plague inc evolved\plagueincevolved.exe] => (Allow) C:\games\plague inc evolved\plagueincevolved.exe => Нет файла
FirewallRules: [TCP Query User{CCCEDB16-0ACA-4872-8225-3CD7C46B084A}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [UDP Query User{90F8907B-E1AE-40A2-9495-F87EBFF3C500}C:\games\plague inc evolved\plagueincsc.exe] => (Allow) C:\games\plague inc evolved\plagueincsc.exe => Нет файла
FirewallRules: [TCP Query User{F3C234F0-25AF-4B63-9A78-BEF02E7551E0}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [UDP Query User{2A636662-596E-4B36-87CF-315B8D41BD2C}C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe] => (Allow) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{F510AADC-B392-4D67-B7D0-5263C20727FD}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [{1F53A0DF-477F-4129-AD4E-EC61B516A588}] => (Block) C:\users\persisting 31\рабочий стол\discord bot maker\discord bot maker.exe => Нет файла
FirewallRules: [TCP Query User{8BE99A99-60A6-4E58-BD95-805A0A73D62D}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{CB07F305-F5D5-444A-BCE6-4A96A953359A}C:\games\payday 2\payday2_win32_release.exe] => (Allow) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{DFCB7C83-8610-4869-8EC2-728A4D0EAD32}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [{9BDACF87-0381-4FBB-AF4B-FDFEA65D0643}] => (Block) C:\games\payday 2\payday2_win32_release.exe => Нет файла
FirewallRules: [TCP Query User{9A1F00E9-1B80-4E6D-8F28-D719850F173B}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [UDP Query User{9D3E863C-2A8D-439F-969C-ABD30B2B2D48}C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe] => (Allow) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{330531BF-B33E-4516-A83B-B1BEC5A08B8E}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [{47FC544F-967B-4931-A84A-F19AB774EBBD}] => (Block) C:\users\persisting 31\рабочий стол\outcore.v20221012\outcore.exe => Нет файла
FirewallRules: [TCP Query User{C2AB3E14-A5C5-4102-9594-C8A9E0D4E2A5}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [UDP Query User{BD5922B9-A5EA-40B3-9B46-B3D386ED9B72}C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe] => (Allow) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{112DEE81-8B7F-476E-B7DA-E05B3E9F740D}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [{8A9DA63E-C53C-4CE1-9E21-B5786C50F4D1}] => (Block) C:\games\totally accurate battle simulator\totallyaccuratebattlesimulator.exe => Нет файла
FirewallRules: [TCP Query User{A9CA495F-BB66-479F-A33F-213C13DCBF39}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [UDP Query User{B568A74B-5ED6-4D32-B351-86671C8A6378}C:\users\persisting 31\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{8F610F70-7F8B-412A-8C72-69A139DB2F65}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [{C37754D9-6904-4D10-8F23-6C4C09AC5FF9}] => (Block) C:\users\persisting 31\appdata\local\programs\opera\opera.exe => Нет файла
FirewallRules: [TCP Query User{DFB52F41-CA6C-4562-9DE1-55EA64CF6CB7}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [UDP Query User{D1E5F3D2-C9CA-4653-81C6-25E9C528FE54}C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe] => (Allow) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{35D37343-8A83-4848-ADC5-865922C45FDB}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [{CDBA02E6-6E87-41EB-9DEB-027844DA8326}] => (Block) C:\users\persisting 31\appdata\local\programs\opera gx\93.0.4585.52_0\opera.exe => Нет файла
FirewallRules: [TCP Query User{27F854DB-B428-402A-9AA3-6F6F8D0A8BEF}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [UDP Query User{FF75A71B-A9E4-4961-AB5A-07E38522499E}C:\games\doom eternal\doometernalx64vk.exe] => (Allow) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{A849D0B1-2A85-4441-8E83-ABE52A464E01}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [{97D5E5D8-A841-497A-944F-2B53DB32AD20}] => (Block) C:\games\doom eternal\doometernalx64vk.exe => Нет файла
FirewallRules: [TCP Query User{D79B4F98-ECDE-4363-AC65-758C459F20A4}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{FB9910FF-F39C-44C9-94A1-BC07C7CEFF62}C:\games\the long drive\thelongdrive.exe] => (Allow) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{8B1DA982-DE2D-4332-A394-283E8ADA2602}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{87A722E4-20F3-4C3B-9ECC-CFF335FF4ED3}] => (Block) C:\games\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [TCP Query User{4765CE24-BEC1-4FDF-BE54-1730DFDBB34A}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{F33903F9-0002-494F-A8DB-C3A4A7D52ADF}C:\games\worldbox_v0.21.0\worldbox.exe] => (Allow) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CAE43CD0-1491-4025-8D94-0E30415E8B29}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [{CF8DA72D-2536-47BB-9571-61682A5F28BB}] => (Block) C:\games\worldbox_v0.21.0\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{71A4621E-3CFB-462F-99E9-7C2AA80E9A15}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{A37A80CA-28BA-49E5-A781-18D847886863}C:\games\oneshot.build.10086695\steamshim.exe] => (Block) C:\games\oneshot.build.10086695\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{F53560AF-F417-444B-A37D-31DDB7153500}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [UDP Query User{72CD23AE-D230-4F39-A79C-F215B473A1FE}C:\games\oneshot v18.04.2017\steamshim.exe] => (Block) C:\games\oneshot v18.04.2017\steamshim.exe => Нет файла
FirewallRules: [TCP Query User{1F2B705B-FD12-4927-971E-A51CCEFAE9BC}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [UDP Query User{FE3FAB8A-B2C5-43C4-BBF1-614569AF6188}C:\games\people playground\people playground.exe] => (Allow) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{C6FE7614-F393-4E37-8701-013623F38606}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [{46D43F18-F927-4DDF-8AE9-FBA4EFB373F3}] => (Block) C:\games\people playground\people playground.exe => Нет файла
FirewallRules: [TCP Query User{349895A4-C945-47B0-9611-96D4AB61A966}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C171CA29-F01C-43A2-B8F6-D694D92BCBD7}C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{19A4C2B1-E460-48D2-8731-3AE926B7E259}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{270771F0-4552-41D5-B46E-41D740AE6BB3}] => (Block) C:\program files (x86)\steam\steamapps\common\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{A3488D84-E5B6-4280-9CED-9FE97675602F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{EC163BF6-E310-4540-9B71-F43A218FDC64}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{5D468290-4D89-45B0-A3A8-D413D14FF743}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{CB7E47CA-884E-42C5-8FC4-E32F1135B938}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Persisting31]

Fixlog.txtСделано

[Sandor]

Что сейчас с проблемой?

[Persisting31]

Не поменялось ничего, все также определяется Winдефендером, но сделать он с ним ничего не может

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Persisting31]

Fixlog.txtАнтивирус теперь говорит что все чисто, Fixlog прикрепил. Будет какая-либо доп. проверка что вирусов нету или на этом уже заканчиваем?

 

[Sandor]

Хорошо. Ещё один небольшой скрипт выполните в безопасном режиме:

 

• Выделите следующий код:

  Start::
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\rss
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Persisting 31\AppData\Local\Temp\csrss
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\windefender.exe
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\System32\drivers
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|csrss.exe
  DeleteValue:HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes|windefender.exe
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Persisting31]

Fixlog.txtЗадержался на денёк, но вот

[Sandor]

Этот скрипт вы запускали несколько раз, достаточно было одного.

 

Хорошо, если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Persisting31]

SecurityCheck.txtВот
По поводу нескольких запусков - сначала почему-то скопировалось без этих двоеточий после Start, Reboot и End, видимо из-за этого скрипт не запускался, и прошло несколько попыток пока я не скопировал скрипт заново

[Sandor]

По возможности исправьте:

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.36.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Node.js v.18.1.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.6 (64-bit) v.3.9.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.75.1 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
Viber v.19.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.6 v.4.3.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 (64-bit) v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera Stable 92.0.4561.43 v.92.0.4561.43 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Opera GX Stable 77.0.4054.298 v.77.0.4054.298 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera GX Stable 96.0.4693.104 v.96.0.4693.104 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО