[РЕШЕНО] Trojan:Win64/Spyboy!MSR

[Kanashimi]

Здравствуйте! 
Столкнулся с аналогичной проблемой. 26 июля неожиданно защитник винды (стоит 10) обнаружил Trojan:Win64/Spyboy!MSR.
Из интернета ничего не загружал и ничего не устанавливал в этот момент, просто объявление об угрозе всплыло само собой. Защитник при сканировании вроде как удалил угрозу, но всё равно сигнализирует о её наличии на ПК. 
Сканировал ПК Kaspersky Virus Removal Tool, ESET Online Scanner, Dr.Web CureIt!, Malwarebytes Anti-Malware, HitmanPRO и ничего они не нашли. Запустил полную проверку защитником, запустил проверку автономным модулем Microsoft Defender и опять всё осталось как было...
Что следует сделать?

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы.

Изменено 28 июля, 2023 пользователем Kanashimi

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Kanashimi]

Прикрепляю логи от AutoLogger.

CollectionLog-2023.07.28-16.47.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Kanashimi]

thyrex, всё готово. 

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3901733791-4027458099-3129540590-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize  (Нет файла) <==== ВНИМАНИЕ
Task: {BAD3D42A-2D3B-4F29-9DDC-B29815599AD1} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
FirewallRules: [UDP Query User{55A62703-4789-499A-8A52-B5F2D39BA9F4}C:\users\пк\appdata\roaming\yandex\yandextelemost\1.0.6.327\yandextelemost.exe] => (Allow) C:\users\пк\appdata\roaming\yandex\yandextelemost\1.0.6.327\yandextelemost.exe => Нет файла
FirewallRules: [TCP Query User{A560AC6C-1DE8-4491-9F2E-BA453E59ABA7}C:\users\пк\appdata\roaming\yandex\yandextelemost\1.0.6.327\yandextelemost.exe] => (Allow) C:\users\пк\appdata\roaming\yandex\yandextelemost\1.0.6.327\yandextelemost.exe => Нет файла
FirewallRules: [UDP Query User{BE2567FC-34AD-40D8-A1AE-414F4281DE5E}C:\users\пк\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\пк\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [TCP Query User{1CA8CCAF-9719-4860-A8B3-4CDC8BD73F72}C:\users\пк\appdata\roaming\spotify\spotify.exe] => (Block) C:\users\пк\appdata\roaming\spotify\spotify.exe => Нет файла
FirewallRules: [UDP Query User{D4032BD3-F36B-4995-89AD-A262371DC2FC}C:\program files (x86)\нэб рф\viewer.exe] => (Block) C:\program files (x86)\нэб рф\viewer.exe => Нет файла
FirewallRules: [TCP Query User{EA599060-737B-4932-8D97-46BF457C78BF}C:\program files (x86)\нэб рф\viewer.exe] => (Block) C:\program files (x86)\нэб рф\viewer.exe => Нет файла
FirewallRules: [TCP Query User{B3BE415E-347B-45BA-A173-B0F122E917EA}C:\users\пк\appdata\local\discord\app-1.0.9011\discord.exe] => (Block) C:\users\пк\appdata\local\discord\app-1.0.9011\discord.exe => Нет файла
FirewallRules: [UDP Query User{7785CA23-1006-4E3E-B949-EC7D6CCC81BE}C:\users\пк\appdata\local\discord\app-1.0.9011\discord.exe] => (Block) C:\users\пк\appdata\local\discord\app-1.0.9011\discord.exe => Нет файла
C:\WINDOWS\System32\drivers\zam64.sys
C:\WINDOWS\System32\drivers\zamguard64.sys
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Kanashimi]

1 час назад, thyrex сказал:

Пожалуйста, прикрепите его в следующем сообщении.

Готово. А что делает эта команда? 
 

Fixlog.zip

[thyrex]

Скрипт чистит мусор.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Kanashimi]

4 минуты назад, thyrex сказал:

Прикрепите этот файл в своем следующем сообщении.

Готово. 

SecurityCheck.zip

[thyrex]

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Malwarebytes version 4.2.0.82 v.4.2.0.82 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft 365 Apps for enterprise - en-us v.16.0.16130.20644 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.18.0.102 v.3.18.0.102 Внимание! Скачать обновления
Intel® Driver & Support Assistant v.3.1.1.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Backup and Sync from Google v.3.57.4256.0809 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Google Drive.
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 16.04 (x64) v.16.04 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.32-1 v.2.10.32 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
Microsoft Teams v.1.6.00.13566 Внимание! Скачать обновления
Zoom v.5.9.1 (2581) Внимание! Скачать обновления
Telegram Desktop v.4.8.8 [+]
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2236, 22.11.2020 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 11 Plugin v.11.1.102.55 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Vivaldi v.2.3.0.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 8.20 v.8.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Sweeper, версия 3.2.0 v.3.2.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим

[Kanashimi]

2 часа назад, thyrex сказал:

по возможности исправьте указанное, и на этом закончим

Старые версии я обновлю, две программы удалю, но как быть с сигналом от Microsoft Defender, что на ПК активна угроза: Trojan:Win64/Spyboy!MSR

2 часа назад, thyrex сказал:

Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware.

Ссылка выдаёт ошибку. 

 

 

2 часа назад, thyrex сказал:

Malwarebytes version 4.2.0.82 v.4.2.0.82 Внимание! Скачать обновления

После автоматического обновления эта программа при запуске выдаёт следующее сообщение: 

 

 

 

1 час назад, Kanashimi сказал:

но как быть с сигналом от Microsoft Defender, что на ПК активна угроза: Trojan:Win64/Spyboy!MSR

На всякий случай прикреплю скриншот. 

[thyrex]

Защитник до сих пор сообщает об угрозе? Уже вроде как не должен.

 

По поводу МВАМ - не нужно все воспринимать буквально, тем более доступ к скачиванию новых версий ограничен из-за санкций.

[Kanashimi]

1 минуту назад, thyrex сказал:

Защитник до сих пор сообщает об угрозе? Уже вроде как не должен.

Да, до сих пор сообщает. А МВАМ после двух сканирований ничего не видит. Отчёты прикрепил. 

МВАМ_отчёт.zip

[thyrex]

2 минуты назад, Kanashimi сказал:

А МВАМ после двух сканирований ничего не видит

Потому что файлов, в которых вдруг был найден вирус, на компьютере нет.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
Folder: C:\ProgramData\Microsoft\Windows Defender\Scans\History
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Kanashimi]

5 минут назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Всё сделал.
Но предупреждение об угрозе всё равно на месте... 

Fixlog (2).zip