[РЕШЕНО] Помощь в удалении вируса (приложение заблокировано администратором)

[vahooe]

Добрый день,
Прошу помощи, вчера хапнул майнера. Вроде удалил утилитой от Касперского, но все продолжилось.
Логи сделать не могу- так-как лубой логер не запускается (приложение заблокировано администратором) 

[vahooe]

Вот такие были файлы до того как удали вирус

Addition.txt FRST.txt

Сейчас антивирус работает, но ничего при проверке не находит

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[vahooe]

Я не могу запустить автологер, вирус блокирует его

 

Получилось в безопасном режиме

CollectionLog-2023.09.19-18.22.zip

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[vahooe]

Вот 

CollectionLog-2023.09.20-07.54.zip AV_block_remove_2023.09.20-07.50.log

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - AppLocker: Fix all (including policies)
O22 - Tasks: (disabled) (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Tasks: (disabled) AAct - C:\Windows\AAct.exe /ofs=act (file missing)
O22 - Tasks: (disabled) Opera scheduled Autoupdate 1677861802 - C:\Users\BOSS\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[vahooe]

Вот

Desktop.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefenderwindowsupdate;
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1363133480-1512378494-3192250287-1002\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{F954DDD1-72DC-4842-9C10-2E9AAB703AF3}E:0\games\tanki\win64\worldoftanks.exe] => (Allow) E:0\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{F35138FC-6845-4442-8E1D-A11F1D649508}E:0\games\tanki\win64\worldoftanks.exe] => (Allow) E:0\games\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{6E9E4A6A-4F89-46E6-B3B0-F6BBA90354F0}E:0\stablep\python\python.exe] => (Allow) E:0\stablep\python\python.exe => Нет файла
FirewallRules: [UDP Query User{9AE70FAD-CE33-4F97-8F2C-4A6641E5804F}E:0\stablep\python\python.exe] => (Allow) E:0\stablep\python\python.exe => Нет файла
FirewallRules: [TCP Query User{E2D8178B-9E7A-4D12-A496-22CB4D9D6B47}E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe] => (Allow) E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{C1E872CC-777D-4688-A594-3938FDD73192}E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe] => (Allow) E:0\5\диск с\users\imperator2\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{3963C3A9-375E-464C-8111-CE0F3627E358}E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [UDP Query User{F6659BC8-F15C-4DC3-B79D-F38ABD274EDC}E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\portable soft\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [TCP Query User{CBDB5F75-E07F-455D-8833-4417A72E841D}E:0\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\rvc-beta-v2-0528\runtime\python.exe => Нет файла
FirewallRules: [UDP Query User{6304D1C8-2F63-48A8-9206-DA642FF0C799}E:0\rvc-beta-v2-0528\runtime\python.exe] => (Allow) E:0\rvc-beta-v2-0528\runtime\python.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[vahooe]

Вот.Fixlog.txt

[thyrex]

Проблема решена?

[vahooe]

Да, вроде все работает! Огромное человеческое спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[vahooe]

Вот

SecurityCheck.txt

 

А, можно понять от куда у меня все эти беды пошли, с какого файла? 

[thyrex]

5 часов назад, vahooe сказал:

можно понять от куда у меня все эти беды пошли, с какого файла? 

этот майнер устанавливается после скачивания и запуска различных репаков игр или активаторов для офиса и системы.

 

--------------------------- [ OtherUtilities ] ----------------------------

Git v.2.38.1 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.32.4943 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9012 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.3.17 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.116.0.5845.188 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Driver Easy 5.8.0 v.5.8.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Carambis Driver Updater v.2.7.0.1436 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

по возможности исправьте указанное, и на этом закончим