Вирус John

[kamil]

Здравствуйте. 2.06.2023 решил скачать игру с торрента. Не посмотрел, с какого сайта беру, и подцепил вирус. Сомнения в файле возникли еще на этапе установки, уж больно она нагружала компьютер. Далее, после перезагрузки на экране входа в систему обнаружил уч. запись John. При этом пропал значок защитника windows, закрылся Malwarebytes. При попытке открыть через ярлык вылезала ошибка доступа, хотя права администратора у моей уч.записи сохранились. Пошел в интернет, понял что это вирус. Нашел совет, что можно просто откатить систему из точки восстановления. Так и сделал, затем: из безопасного режима запустил сначала AVZ со всеми галочками, полным сканированием и чувствительностью эвристики на максимум, потом оттуда же пару скриптов восстановления системы(в частности, настроек браузера, автозагрузки, рабочего стола и еще некоторые). Заново перезагрузился в безопасный режим, потом запустил сканирование CureIt. Загрузился в нормальном режиме. Решил проверить - штатный антивирус заработал, malwarebytes пишет "unable to start", при попытке зайти на их оф. сайт вылезает (файл screenshot1), причем и в Яндекс браузере, и в Edge, но компьютер вернулся к той скорости быстродействия, что и до заражения. Логи собрал

CollectionLog-2023.06.03-17.03.zip screenshot1.7z

[kamil]

На ваш форум, наткнулся уже после всех этих действий. И заметил подпись в "правилах оформления": после лечения обязательно удалить старые точки восстановления. Видимо, вирус пустил корни и в ту, на которую я делал откат, поэтому некоторые проблемы остались. На этом компьютере есть критически важные мне файлы, но при необходимости, например, переустановки системы, я могу найти, куда их деть. Однако все же не хочется доходить до такого. И вопрос, который я забыл вставить: мог ли злоумышленник "стянуть" мои пароли из менеджера паролей Яндекс браузера? Этот менеджер был защищен мастер-паролем, но я боюсь, что мог его вводить. Этот вирус считывает нажатия по клавиатуре?

Изменено 3 июня, 2023 пользователем kamil
Более грамотная постановка вопроса

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kamil]

Addition.7z

[thyrex]

На сайт Malwarebytes сейчас так просто не попасть - санкции. 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {26E7CDB6-85CD-4004-9496-1EEAECFEEFA9} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {3F75409A-3E6E-4833-BA45-3F9C67805E32} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {5A01941D-5CB2-40F6-BB9D-04BFF4421C7F} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {833D670F-5009-4EC4-9EB8-E7695438EE01} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{20894375-46AE-46E2-BAFD-CB38975CDCE6}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{3f5d0051-61b8-0f45-6166-996cfb4f914f}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 ->  => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4852]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kamil]

Fixlog.txt

[thyrex]

Проблема решена?

[kamil]

Пока точно сказать не могу, но лишняя нагрузка пропала еще после отработки AVZ. Начну пользоваться, сегодня-завтра еще раз отпишусь. По логам компьютер очищен? Я это к вопросу о менеджере паролей

[thyrex]

Не думаю, что пароли были скомпрометированы