Майнер или троян

[xxxholic]

Здравствуйте! После проверки rougekiller нашлось 2 вируса, которые он не смог удалить C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64 2 и С:\Windows\Fonts\Mysql. Вначале использовал AV block remove. После перезагрузки собрал логи AutoLogger. Файлы прикрепляю 

AV_block_remove_2023.10.05-17.21.log CollectionLog-2023.10.05-18.06.zip

[Sandor]

Здравствуйте!

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

"Пофиксите" в HijackThis только эту строчку:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[xxxholic]

ClearLNK-2023.10.06_14.14.27.log FRST.txt Addition.txt

[Sandor]

Ещё некоторый мусор удалим:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  U4 CDPUserSvc_3745a; отсутствует ImagePath
  U4 OneSyncSvc_4436f; отсутствует ImagePath
  U4 PimIndexMaintenanceSvc_4436f; отсутствует ImagePath
  U4 Sense; отсутствует ImagePath
  U4 UnistoreSvc_4436f; отсутствует ImagePath
  U4 UnistoreSvc_65bd5; отсутствует ImagePath
  U4 UserDataSvc_4436f; отсутствует ImagePath
  U4 WpnUserService_21118; отсутствует ImagePath
  U4 WpnUserService_23f1a; отсутствует ImagePath
  U4 WpnUserService_3a48a; отсутствует ImagePath
  U4 WpnUserService_652ee; отсутствует ImagePath
  2023-07-09 02:33 C:\ProgramData\princeton-produce
  AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[xxxholic]

Fixlog.txt

[Sandor]

Если других проблем больше нет, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[xxxholic]

Большое спасибо!SecurityCheck.txt

[Sandor]

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5030211 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба остановлена
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.21.5.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Audacity 3.2.2 (Все пользователи) v.3.2.2 Внимание! Скачать обновления
Audacity 2.10.24 v.2.10.24 Внимание! Скачать обновления
HandBrake 1.5.1 v.1.5.1 Внимание! Скачать обновления
K-Lite Codec Pack 17.3.0 Standard v.17.3.0 Внимание! Скачать обновления
QuickTime v.7.60.92.0 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.9.0.2272 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО