[РЕШЕНО] Поймал вирусы, прошу помощи

[morde]

Установил торрент, поймал вирусы. Касперский установить не удаётся, malwarebytes тоже. Сделал проверку Dr web cureit, он нашёл файлы трояна и вылечил их, но кроме того нашёл ещё какие то NET:MALWARE.UR, но при их лечении возникла ошибка. Запускал cureit ещё несколько раз в безопасном и обычном режиме но никаких угроз он более обнаружить не может. После всех эти операций я нашёл этот форум и решил попробовать использовать AVbr, но при его запуске вылезает ошибка: "Невозможно создать файл "С:/Users/79184(имя пользователя моё)/Desktop/Av_block_remover/delminer.txt". Отказано в доступе"

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[morde]

Установил торрент, поймал вирусы. Касперский установить не удаётся, malwarebytes тоже. Сделал проверку Dr web cureit, он нашёл файлы трояна и вылечил их, но кроме того нашёл ещё какие то NET:MALWARE.UR, но при их лечении возникла ошибка. Запускал cureit ещё несколько раз в безопасном и обычном режиме но никаких угроз он более обнаружить не может.

CollectionLog-2023.07.11-19.28.zip

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[mike 1]

Добрый день. Скачайте и сохраните AVBR в папку C:\Snikers (создайте папку), запустите от имени Администратора (при необходимости переименуйте в snikers), следуйте инструкциям утилиты, прикрепите лог утилиты.  

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

[morde]

Пользователь John был удалён, касперский установить получается, но пока я этого делать не буду, лучше следовать вашим инструкциям.

 

AV_block_remove_2023.07.12-11.20.log CollectionLog-2023.07.12-11.27.zip

Изменено 12 июля, 2023 пользователем morde

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[morde]

готово

 

Results.zip

Изменено 12 июля, 2023 пользователем morde

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-2812577034-1820511964-3239663042-1003\...\Run: [FACEIT] => "C:\Users\79184\AppData\Local\FACEIT\update.exe" --processStart "FACEIT.exe" (Нет файла)
HKU\S-1-5-21-2812577034-1820511964-3239663042-1003\...\Run: [Windscribe] => "C:\Program Files\Windscribe\Windscribe.exe" -os_restart (Нет файла)
HKU\S-1-5-21-2812577034-1820511964-3239663042-1003\...\MountPoints2: {2002ee37-1fe8-11ee-9e21-309c23062b2e} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-2812577034-1820511964-3239663042-1003\...\MountPoints2: {5dff10ac-1fe6-11ee-9e1f-b91dba6b1624} - "F:\HiSuiteDownLoader.exe" 
Task: {CC4079C1-F985-4CAB-8713-BD6FF4047CCC} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-2812577034-1820511964-3239663042-1002Core => C:\Users\Давид Ананикян\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /c (Нет файла)
Task: {94685956-BDCD-4948-A9E9-99918343F9DC} - System32\Tasks\MicrosoftEdgeUpdateTaskUserS-1-5-21-2812577034-1820511964-3239663042-1002UA => C:\Users\Давид Ананикян\AppData\Local\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe  /ua /installsource scheduler (Нет файла)
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
AlternateDataStreams: C:\Users\79184\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\79184\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [2594]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5186]
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [2594]
FirewallRules: [{89B56672-59CA-4B8B-B02C-F2B91D56E7C9}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{B1E480D2-3DF8-4002-8AB4-0FDF727B9586}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [TCP Query User{8C05019A-11D7-443C-A610-2B8CD4DA28B2}D:\games\warcraft 3 frozen throne the reign of chaos\war3.exe] => (Allow) D:\games\warcraft 3 frozen throne the reign of chaos\war3.exe => Нет файла
FirewallRules: [UDP Query User{B4E8A1AF-5D50-4709-A3D0-068F9229794A}D:\games\warcraft 3 frozen throne the reign of chaos\war3.exe] => (Allow) D:\games\warcraft 3 frozen throne the reign of chaos\war3.exe => Нет файла
FirewallRules: [TCP Query User{373DECE1-894A-4672-B903-DACB7DE6ED1C}C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [UDP Query User{B1AE59E7-EC8A-40A6-8178-B6BDEE6D4647}C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files (x86)\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{3A998142-3E95-400B-A014-43C591F4D985}D:\discord\app-1.0.9005\discord.exe] => (Allow) D:\discord\app-1.0.9005\discord.exe => Нет файла
FirewallRules: [UDP Query User{7B9F3E02-9685-491A-B097-3BD5D1664825}D:\discord\app-1.0.9005\discord.exe] => (Allow) D:\discord\app-1.0.9005\discord.exe => Нет файла
FirewallRules: [TCP Query User{AEEED980-437A-44C2-B6C6-0737B382DC09}D:\gtav\gta5.exe] => (Allow) D:\gtav\gta5.exe => Нет файла
FirewallRules: [UDP Query User{E9BA5D1F-124F-405D-8352-3E3012D9396D}D:\gtav\gta5.exe] => (Allow) D:\gtav\gta5.exe => Нет файла
FirewallRules: [TCP Query User{04F32B9F-4A0D-4A75-B0AB-1B1E1B14593C}C:\games\worldbox v0.14.2-469\worldbox.exe] => (Allow) C:\games\worldbox v0.14.2-469\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{A96686BD-2A87-493B-8967-12E9A005FE16}C:\games\worldbox v0.14.2-469\worldbox.exe] => (Allow) C:\games\worldbox v0.14.2-469\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{F158BF57-E1FF-491F-953B-3E375F3AD8B7}C:\games\the witcher 2\bin\witcher2.exe] => (Allow) C:\games\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [UDP Query User{4722C831-8212-4B19-9E74-4E8D16984FEA}C:\games\the witcher 2\bin\witcher2.exe] => (Allow) C:\games\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [TCP Query User{E4164883-1708-4830-B8F4-4E3FB2030068}D:\phasmophobia\phasmophobia.exe] => (Allow) D:\phasmophobia\phasmophobia.exe => Нет файла
FirewallRules: [UDP Query User{F1E9EBE9-9201-4456-B701-A8D2B98CC1D8}D:\phasmophobia\phasmophobia.exe] => (Allow) D:\phasmophobia\phasmophobia.exe => Нет файла
FirewallRules: [TCP Query User{2AB268D9-8A56-41B5-8EC8-39BE6C3550DA}D:\love, money, rock-n-roll\love, money, rock'n'roll.exe] => (Allow) D:\love, money, rock-n-roll\love, money, rock'n'roll.exe => Нет файла
FirewallRules: [UDP Query User{2D209E13-D36A-4FDD-A527-8CDEF0395685}D:\love, money, rock-n-roll\love, money, rock'n'roll.exe] => (Allow) D:\love, money, rock-n-roll\love, money, rock'n'roll.exe => Нет файла
FirewallRules: [TCP Query User{2F01F23B-153F-4E35-B6B7-152CFC67D22D}D:\the witcher 2\bin\witcher2.exe] => (Allow) D:\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [UDP Query User{E9B08BF9-235D-4E35-BB11-410A38A777BA}D:\the witcher 2\bin\witcher2.exe] => (Allow) D:\the witcher 2\bin\witcher2.exe => Нет файла
FirewallRules: [TCP Query User{964F7A2F-F9AB-4F44-A1F7-1B1C827F2D46}D:\killing room v1.8.1\killingroom.exe] => (Allow) D:\killing room v1.8.1\killingroom.exe => Нет файла
FirewallRules: [UDP Query User{212E4D39-A6EB-4C66-ADF9-9959915F287A}D:\killing room v1.8.1\killingroom.exe] => (Allow) D:\killing room v1.8.1\killingroom.exe => Нет файла
FirewallRules: [TCP Query User{24AB5E7F-4106-4E96-BE74-B015388FF663}C:\games\gunfire reborn\gunfire reborn.exe] => (Allow) C:\games\gunfire reborn\gunfire reborn.exe => Нет файла
FirewallRules: [UDP Query User{70A58E98-F5C7-46F1-A06A-53244E4A8B6F}C:\games\gunfire reborn\gunfire reborn.exe] => (Allow) C:\games\gunfire reborn\gunfire reborn.exe => Нет файла
FirewallRules: [TCP Query User{B547E9A9-56FB-4EBD-A1A3-E0A3D9954704}C:\games\counter strike source v88\counter strike source v88\hl2.exe] => (Block) C:\games\counter strike source v88\counter strike source v88\hl2.exe => Нет файла
FirewallRules: [UDP Query User{3FFF558D-19B9-460A-822B-8734CC706DC7}C:\games\counter strike source v88\counter strike source v88\hl2.exe] => (Block) C:\games\counter strike source v88\counter strike source v88\hl2.exe => Нет файла
FirewallRules: [TCP Query User{931ADE50-57CA-446C-9C13-E5AC5900D0BA}C:\users\79184\appdata\local\faceit\app-1.31.7\faceit.exe] => (Allow) C:\users\79184\appdata\local\faceit\app-1.31.7\faceit.exe => Нет файла
FirewallRules: [UDP Query User{9EB41868-F900-4DBE-8521-3841E8FD5EDA}C:\users\79184\appdata\local\faceit\app-1.31.7\faceit.exe] => (Allow) C:\users\79184\appdata\local\faceit\app-1.31.7\faceit.exe => Нет файла
FirewallRules: [TCP Query User{E25BA620-7550-4280-AC4C-D4D628540726}C:\games\project zomboid\jre64\bin\javaw.exe] => (Allow) C:\games\project zomboid\jre64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{7D18C04C-8F3E-476C-95A3-F3180BC9A3CC}C:\games\project zomboid\jre64\bin\javaw.exe] => (Allow) C:\games\project zomboid\jre64\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{0B8F889C-4E98-409C-844F-BBE56F30A3D9}C:\games\project zomboid\projectzomboid64.exe] => (Allow) C:\games\project zomboid\projectzomboid64.exe => Нет файла
FirewallRules: [UDP Query User{06DF3C59-7447-4094-B200-58DD73AA85D6}C:\games\project zomboid\projectzomboid64.exe] => (Allow) C:\games\project zomboid\projectzomboid64.exe => Нет файла
FirewallRules: [TCP Query User{572BD0C4-B87F-4653-85E2-F09E1A7F9E97}D:\steamlibrary\steamapps\common\projectzomboid\jre64\bin\java.exe] => (Allow) D:\steamlibrary\steamapps\common\projectzomboid\jre64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{BB12FAD1-7B57-4FB7-8790-A3B59450B093}D:\steamlibrary\steamapps\common\projectzomboid\jre64\bin\java.exe] => (Allow) D:\steamlibrary\steamapps\common\projectzomboid\jre64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{8204E71A-0BB1-4CFD-B056-13F2615CE7CE}C:\users\79184\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\79184\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [UDP Query User{0D5195E4-28D5-43A5-BD1E-A93F7438C7A4}C:\users\79184\appdata\local\discord\app-1.0.9006\discord.exe] => (Allow) C:\users\79184\appdata\local\discord\app-1.0.9006\discord.exe => Нет файла
FirewallRules: [TCP Query User{7353DCE6-208B-4762-BFFA-124638C91D94}C:\games\zero sievert v0.24.2\zero sievert.exe] => (Allow) C:\games\zero sievert v0.24.2\zero sievert.exe => Нет файла
FirewallRules: [UDP Query User{A1FACCA3-41FA-41B8-A1EA-3242604E67F3}C:\games\zero sievert v0.24.2\zero sievert.exe] => (Allow) C:\games\zero sievert v0.24.2\zero sievert.exe => Нет файла
FirewallRules: [TCP Query User{E4FAE465-B0E7-44DC-9FFA-A1966E003420}D:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [UDP Query User{55370584-88B8-447B-9341-01CC49F2B79A}D:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\steamlibrary\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [TCP Query User{FF86276B-5A2C-4AB0-9C10-AE144E463C70}D:\warhammer 40,000 - shootas, blood & teef1\shootasbloodandteef.exe] => (Allow) D:\warhammer 40,000 - shootas, blood & teef1\shootasbloodandteef.exe => Нет файла
FirewallRules: [UDP Query User{21A029E9-4399-40DC-A67B-F184135E416A}D:\warhammer 40,000 - shootas, blood & teef1\shootasbloodandteef.exe] => (Allow) D:\warhammer 40,000 - shootas, blood & teef1\shootasbloodandteef.exe => Нет файла
FirewallRules: [TCP Query User{E76CAADA-5211-4481-9A63-4E38F2A9013E}D:\planetary annihilation titans v115958 portable by freetp\bin_x64\pa.exe] => (Allow) D:\planetary annihilation titans v115958 portable by freetp\bin_x64\pa.exe => Нет файла
FirewallRules: [UDP Query User{CA8645F1-3C51-4E0D-A067-1713C20C50D9}D:\planetary annihilation titans v115958 portable by freetp\bin_x64\pa.exe] => (Allow) D:\planetary annihilation titans v115958 portable by freetp\bin_x64\pa.exe => Нет файла
FirewallRules: [TCP Query User{C0C23BBF-6674-4C79-AA5C-0E8D70AD6C62}D:\planetary annihilation titans v115958 portable by freetp\bin_x64\server.exe] => (Block) D:\planetary annihilation titans v115958 portable by freetp\bin_x64\server.exe => Нет файла
FirewallRules: [UDP Query User{CEA29513-FF82-4AEA-8634-7665A7C50D35}D:\planetary annihilation titans v115958 portable by freetp\bin_x64\server.exe] => (Block) D:\planetary annihilation titans v115958 portable by freetp\bin_x64\server.exe => Нет файла
FirewallRules: [{3368CE65-57F9-4A83-8212-E82166C48A77}] => (Allow) D:\SteamLibrary\steamapps\common\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{72CFF103-B3E7-48B7-BE01-31707EB19532}] => (Allow) D:\SteamLibrary\steamapps\common\Apex\EasyAntiCheat_launcher.exe => Нет файла
FirewallRules: [{D2872685-4A8A-4800-892A-5F9B8A25CC6C}] => (Allow) C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe => Нет файла
FirewallRules: [{3C999B68-054C-4031-B97C-AB8C08A0C925}] => (Block) %ProgramFiles%\Voicemod Desktop\VoicemodDesktop.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[morde]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[morde]

SecurityCheck.txt

[thyrex]

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22286 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления

по возможности исправьте указанное, и на этом закончим

[morde]

спасибо за помощь!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".