[РЕШЕНО] Подозрение на вирусы. Вирусы в архивах

[Bagration 0]

Добрый день.

Устанавливал ОС на чужой компьютер, использовал в процессе пару флешек и пару своих компьютеров.

 

По окончанию заметил, что на моих компьютерах сбились видеокодеки и некоторые ассоциации файлов (.jpg, .png, и другие изображения отвязались от стандартного просмотрщика фотографий Windows).
Никакого нового ПО на свои компьютеры не устанавливал, так что сразу возникли подозрения.

 

Просканировав систему ESET'ом, я нашёл три крайне подозрительных архива, которые я точно не загружал:
C:\Users\Odmin\Downloads\Kotatogram Desktop\Markets Index 4k.zip
C:\Users\Odmin\Downloads\Kotatogram Desktop\Markets Index 4k (2).zip
C:\Users\Odmin\Downloads\Kotatogram Desktop\(название третьего забыл, пардон).zip

ESET'ом определяются как Win64/Packed.Themida.L и Win32/PSW.Agent.onw.

Первые два лежат до сих пор, третий антивирь удалил сразу. По данным, указанным в свойствах, лежат они там аж с 7 марта.
Внутри архивов exe-шники, ничего из этого я не запускал.

Отсюда вопрос: грозит ли мне что-то, если данные зловреды были в архивах и я их не запускал? Файрволл (simplewall) настроен на автоматический блок всего, что не подходит ни одному из существующих правил.

 

Логи сканирования прилагаю. Сканирование проводил вместе с подключенными флешками.

CollectionLog-2023.05.26-13.23.zip

Изменено 26 мая пользователем Bagration

[Bagration 0]

Уважаемые эксперты, прошу вашей помощи, пожалуйста.

[Sandor 1 189]

Здравствуйте!

 

Логи собирали на каком компьютере? На чужом или

26.05.2023 в 14:33, Bagration сказал:

на моих компьютерах

?

 

На том ПК, на котором собирались логи какие проблемы сейчас пристутствуют?

[Bagration 0]

5 часов назад, Sandor сказал:

Здравствуйте!

 

Логи собирали на каком компьютере? На чужом или

?

 

На том ПК, на котором собирались логи какие проблемы сейчас пристутствуют?

 

Логи собраны на одной из своих машин.

До сих пор висят два подозрительных архива, которые не знаю, как удалить так, чтоб вирус не оставил следов в системе. Помимо этого, сбитые, до сих пор, кодеки, т. к. ничего не трогал до удаления зловредов, ну и в целом подозрение, что с системой что-то не то.

Вторую свою машину пока не сканировал, но сделаю это  после очистки этой.
 

Изменено 29 мая пользователем Bagration

[Sandor 1 189]

Только учтите, что действовать нужно по принципу один компьютер - одна тема.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Bagration 0]

17 минут назад, Sandor сказал:

Только учтите, что действовать нужно по принципу один компьютер - одна тема.

Хорошо.

Сканирование сделал, вот логи.
 

Addition.txt FRST.txt

[Sandor 1 189]

Этот файл в авто запуске вам известен?

Цитата

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\redshiftgui.exe

 

[Bagration 0]

1 минуту назад, Sandor сказал:

Этот файл в авто запуске вам известен?

 

Да, это программа цветовой коррекции света монитора, пользуюсь ей уже несколько лет и доверяю. Ставил в автозагрузку самостоятельно.

[Sandor 1 189]

Понятно, спасибо за разъяснение.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Folder:C:\Users\Odmin\Downloads\Kotatogram Desktop
  FirewallRules: [{C4F0A6A4-F09A-410E-B8B2-66088297668D}] => (Allow) LPort=3074
  FirewallRules: [{36E4471A-43C2-4C33-9C6E-CA4006A5BABC}] => (Allow) LPort=3074
  FirewallRules: [{91721FFC-B8D0-4961-9CE0-367D6D62E1BC}] => (Allow) LPort=27036
  FirewallRules: [{96CB8BB9-B8C2-416D-B54F-707F8376911E}] => (Allow) LPort=27036
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 30 мая пользователем Sandor
Поправил скрипт

[Bagration 0]

5 часов назад, Sandor сказал:

Понятно, спасибо за разъяснение.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  
  
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Folder:C:\Users\Odmin\Downloads\Kotatogram Desktop
  FirewallRules: [{C4F0A6A4-F09A-410E-B8B2-66088297668D}] => (Allow) LPort=3074
  FirewallRules: [{36E4471A-43C2-4C33-9C6E-CA4006A5BABC}] => (Allow) LPort=3074
  FirewallRules: [{91721FFC-B8D0-4961-9CE0-367D6D62E1BC}] => (Allow) LPort=27036
  FirewallRules: [{96CB8BB9-B8C2-416D-B54F-707F8376911E}] => (Allow) LPort=27036
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Спасибо, но есть вопрос: в процессе скрипт активирует обновление Windows, или я неправильно понимаю? Если что, я выключил его специально и не хотел бы включать.

Изменено 29 мая пользователем Bagration

[Sandor 1 189]

Поправил скрипт, выполняйте.

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

[Bagration 0]

Готово.
Однако, те подозрительные архивы, по адресу C:\Users\Odmin\Downloads\Kotatogram Desktop\ так и остались, не удалились.

Fixlog.txt

Изменено 30 мая пользователем Bagration

[Sandor 1 189]

Подозрительные архивы просто удалить вы ведь можете, верно?

Расследовать то, как они оказались в этой папке мы не будем, это совсем другой вид услуг. Здесь мы только лечим заражённые системы.

 

Если других признаков заражения нет, будем завершать:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Bagration 0]

6 часов назад, Sandor сказал:

Подозрительные архивы просто удалить вы ведь можете, верно?

Могу, но опасаюсь, что останутся следы в системе, т. к. антивирус порой находил подозрительные файлы по адресам вида С:\RECYCLE.BIN~что-то-там\тарабарщина.
Тут уж вы мне, пожалуйста, посоветуйте, безопасно ли удалять простым удалением файлы, содержащие вирус, или только специальными вирусочистками?

Расследования от Вас не требую, понимаю.

 

Лог SecurityCheck.

SecurityCheck.txt

Изменено 30 мая пользователем Bagration

[Sandor 1 189]

Да, простого удаления (с последующей очисткой Корзины) достаточно.

 

Исправьте по возможности:

------------------------------- [ HotFix ] --------------------------------
HotFix KB5026361 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
ESET Endpoint Security v.5.0.2272.7 Внимание! Скачать обновления
-------------------------- [ SecurityUtilities ] --------------------------
KeePassXC v.2.7.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Skype, версия 8.93 v.8.93 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.9.42606 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
Audacity 3.2.4 v.3.2.4 Внимание! Скачать обновления
K-Lite Codec Pack 17.2.0 Standard v.17.2.0 Внимание! Скачать обновления
VLC media player v.2.2.4 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.111.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.104.0.5112.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Opera Stable 90.0.4480.84 v.90.0.4480.84 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.03 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

 

Читайте Рекомендации после удаления вредоносного ПО