Перейти к содержанию
Правила раздела

Вирус John

kamil

Автор kamil,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

kamil

kamil 0

Опубликовано
Опубликовано

Здравствуйте. 2.06.2023 решил скачать игру с торрента. Не посмотрел, с какого сайта беру, и подцепил вирус. Сомнения в файле возникли еще на этапе установки, уж больно она нагружала компьютер. Далее, после перезагрузки на экране входа в систему обнаружил уч. запись John. При этом пропал значок защитника windows, закрылся Malwarebytes. При попытке открыть через ярлык вылезала ошибка доступа, хотя права администратора у моей уч.записи сохранились. Пошел в интернет, понял что это вирус. Нашел совет, что можно просто откатить систему из точки восстановления. Так и сделал, затем: из безопасного режима запустил сначала AVZ со всеми галочками, полным сканированием и чувствительностью эвристики на максимум, потом оттуда же пару скриптов восстановления системы(в частности, настроек браузера, автозагрузки, рабочего стола и еще некоторые). Заново перезагрузился в безопасный режим, потом запустил сканирование CureIt. Загрузился в нормальном режиме. Решил проверить - штатный антивирус заработал, malwarebytes пишет "unable to start", при попытке зайти на их оф. сайт вылезает (файл screenshot1), причем и в Яндекс браузере, и в Edge, но компьютер вернулся к той скорости быстродействия, что и до заражения. Логи собрал

CollectionLog-2023.06.03-17.03.zip screenshot1.7z

Ссылка на сообщение
Поделиться на другие сайты
kamil

kamil 0

Опубликовано
  • Автор
Опубликовано (изменено)

На ваш форум, наткнулся уже после всех этих действий. И заметил подпись в "правилах оформления": после лечения обязательно удалить старые точки восстановления. Видимо, вирус пустил корни и в ту, на которую я делал откат, поэтому некоторые проблемы остались. На этом компьютере есть критически важные мне файлы, но при необходимости, например, переустановки системы, я могу найти, куда их деть. Однако все же не хочется доходить до такого. И вопрос, который я забыл вставить: мог ли злоумышленник "стянуть" мои пароли из менеджера паролей Яндекс браузера? Этот менеджер был защищен мастер-паролем, но я боюсь, что мог его вводить. Этот вирус считывает нажатия по клавиатуре?

Изменено пользователем kamil
Более грамотная постановка вопроса
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 468

Опубликовано
Опубликовано

На сайт Malwarebytes сейчас так просто не попасть - санкции. 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {26E7CDB6-85CD-4004-9496-1EEAECFEEFA9} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {3F75409A-3E6E-4833-BA45-3F9C67805E32} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => %systemroot%\system32\MusNotification.exe  Display (Нет файла)
Task: {5A01941D-5CB2-40F6-BB9D-04BFF4421C7F} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {833D670F-5009-4EC4-9EB8-E7695438EE01} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{20894375-46AE-46E2-BAFD-CB38975CDCE6}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{3f5d0051-61b8-0f45-6166-996cfb4f914f}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{47E6DCAF-41F8-441C-BD0E-A50D5FE6C4D1}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{917E8742-AA3B-7318-FA12-10485FB322A2}\localserver32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-1866813773-14205620-2612220405-1001_Classes\CLSID\{9489FEB2-1925-4D01-B788-6D912C70F7F2}\localserver32 ->  => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
ContextMenuHandlers4: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4852]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
kamil

kamil 0

Опубликовано
  • Автор
Опубликовано

Пока точно сказать не могу, но лишняя нагрузка пропала еще после отработки AVZ. Начну пользоваться, сегодня-завтра еще раз отпишусь. По логам компьютер очищен? Я это к вопросу о менеджере паролей

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Sapfira
      Kaspersky Plus блокирует работу программы Easy Diffusion
      От Sapfira
      Если запустить программу с включенным антивирусом, то она запускается нормально, но при генерации изображений выскакивает ошибка:
      Если сначала выгрузить антивирус и потом запустить программу, тогда никаких проблем нет.
       
      Думала, что проблема из-за порта 443, так как он упоминается в ошибке, сделала правило в сетевом экране на его разрешение, но не помогло.
      Поискала в интернете, оказалось, что такая проблема не только у меня и есть решение - добавить 127.0.0.1:7860 в доверенные веб-адреса (вроде, некоторым помогает).
      Добавила и даже компьютер перезагрузила, но не помогло.
       
      Если кто не знает, то это не обычная программа, она сначала запускается в CMD, там перечисляется куча всяких команд, потом открывется страница в браузере, где и происходит работа с программой. И вот там что-то блокируется антивирусом.
    • hitobito4
      trojan. multi. lockedfolder. a
      От hitobito4
      Вирус блокирует установку autolog, можно ли запустить его в безопасном режиме, или как-то еще? 
    • vv3
      Вирус или снова паранойя
      От vv3
      Вообщем,мб уже стоит пойти к психиатру)
      Но сегодня во время игры как будто бы кто-то говорил или тип того 1-2 секунды,поэтому решил посмотреть комп
      dr web cureit ничего не показал
      потом решил зайти полазить в авасте и обнаружил одну вещь 
      не могу понять,это локальная сеть или что,ибо инфы нет  насчет этого айпи


      Решил посмотреть журнал windows и увидел некоторое совпадение

      В тот день помню  раздавал инет на комп через usb.
      Могу логи кинуть,но думаю там ничего особенного не будет ,потому что я уже в прошлых 2 темах кидал логи
      вот они:
       
       
    • Anon
      Потеря контроля над пк
      От Anon
      Здравствуйте. Меня взломали, взломали от слова-Всё. Все аккаунты, все устройства. Ноутбук неуправляем (невозможно ничего из их по удалить, антивирус взломан и не отключается). Подозреваю что знаю чьих рук дело (высококлассные специалисты), но ничего сделать и доказать не могу. Выкачивают всю информацию регулярно (взломали даже айфон. Роутер тоже взломан (подозреваю и перепрошит). Комп работает, вроде даже получилось заглянуть «под ковёр» (не подключаю к интернету). Там куча ПО для удаленнного доступа. Это в кратце. Что делать? К интернету как только подключаю, начинает чудить. Что характерно переодически происходят манипуляции не свойственные ИИ. Тоесть видно что действует человек. 
    • Андрей Потерпевший
      Аудио троян
      От Андрей Потерпевший
      Здравствуйте, нужна помощь мой ПК был взломан. На ПК имеется вирус, который меняет звуковую дорожку прослушиваемого трека, вплоть англ текст режит и пропиваются русс слова вместе анл. + кто-то жестоко троллит через колонки. у меня касперский Total Security.
×
×
  • Создать...