Перейти к содержанию

Рекомендуемые сообщения

Буквально пару часов назад заразился каким то комбо из троянов и майнеров.
Вирусы блокировали работу браузера, а так же уже существующего антивируса
Сделал бэк системы, и возможно мне повезло тем что вирусы не успели развернутся, скачал KVRT
Показывало что один из вирусов был вшит в оперативную память что и является моим главным опасением
еще один был прописан в System32\drivers\ets\hosts, и так же по пути C:\ProgramData\WindowsTask\ указывало Trojan.Multi.Agent.n и там был xml файл в котором как я предполагаю было прописано то что мешало нормальной работе браузера
Хоть и KVRT показывает что вирусы удалены, у меня все еще блокируется работа Discord, я хочу до конца добить то что попало ко мне

Прикрепляю логи и скриншоты с KVRT
UPD: В системе присутствовал пользователь John 

 

photo_2024-01-23_23-42-41.jpg

photo_2024-01-23_23-43-10.jpg

photo_2024-01-23_23-43-40.jpg

CollectionLog-2024.01.23-23.28.zip report1.log report2.log

Изменено пользователем Malox
Ссылка на сообщение
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [Microsoft Edge Update] => C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\MicrosoftEdgeUpdateCore.exe [264264 2023-10-26] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [EACUpdate] => E:\Rust\EACUpdater.exe (Нет файла)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [YandexBrowserAutoLaunch_1CD66D9B0A655834B0AFDF59029CEA7C] => "C:\Users\Ачкобус\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {46AAF0D2-8B8C-4896-9CBA-51097FABC57D} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe  -sr (Нет файла)
Task: {EB503219-E7BC-4F21-A05E-1B9DCB32932F} - System32\Tasks\Opera GX scheduled Autoupdate 1689330673 => C:\Users\Ачкобус\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\PerfLogs:err [1732]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [964]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [964]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [964]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [964]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [964]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5782]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT2 [964]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT2 [964]
FirewallRules: [TCP Query User{CEE1A04C-43B5-4267-840C-37A1D1A7C339}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [UDP Query User{A950F40A-3304-43AB-A133-14AC71863203}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [TCP Query User{F0B412DB-CFFF-46C6-A98D-B377575E00E3}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [UDP Query User{57A25BCC-C4B2-4F55-BA50-D6BB659EF0C4}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [{82DC77FE-BCB8-45AA-8960-D22FC6E83476}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2E6A89AE-FF7A-4469-BFF7-772C567C5298}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{DDDC24D0-C105-485F-BD17-3CA4440AC14E}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [UDP Query User{83192CB3-F6DB-45F7-B051-F66FF0E3322C}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [TCP Query User{089D6F9D-9FDB-4276-8D8D-99F3290B4E55}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{0240C193-D859-4B2B-A4FD-E680E5445581}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{14EC9DBF-1032-44E6-AC05-5872127F2D27}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{4A5958C3-6BE7-46CE-924B-8CB7A5B4DFEF}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D038615C-E44E-461E-BBD1-FAA40322FEA4}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{480278F7-FA7D-4DD6-B15A-0C61BB86D051}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{FB7876FD-992C-4C1C-9B06-61FDB11D112E}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [{EBCF5016-A98D-4ACC-80E0-EDC583EB7E28}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [TCP Query User{1C1B7C76-6E24-4D31-A8E3-D4C768AC8C26}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7ACB0BC5-6E90-4FCF-8DAB-F7022F342D8F}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{8A4B7CC5-4BBB-4305-BCAA-F9AF0FEC5215}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{DC5B200D-645C-4074-8907-530CB4A8B80D}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [{2BBBC18E-F718-4A5D-845A-CD2D1D58737D}] => (Allow) E:\prbf2_1.7.4.0_full\prbf2.exe => Нет файла
FirewallRules: [{7F48A7FE-DAD7-4B8C-9055-46BAB070BDEC}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRLauncher.exe => Нет файла
FirewallRules: [{DCEE8D49-D0E1-4A82-924B-652E86D326F7}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRUpdater.exe => Нет файла
FirewallRules: [{21D36812-7185-4373-8C21-86358849D8DA}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRMumble\PRMumble.exe => Нет файла
FirewallRules: [{30189877-6354-4FEC-8632-0EDB9DFA09A0}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
FirewallRules: [{AD0D5E0B-FCCC-4D1E-8ABA-1F6424D16E46}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • CzarOfScripts
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
    • distress
      От distress
      Добрый день, получилось так что словил серьезный майнер с автозапуском порно-сайта через редирект.
      Все что похожее есть по другим темам прочитал, понял что все очень индивидуально, у каждого свои логи и вариант решения. Переустановить систему нет возможности, стоят важные программы, файлы.
      Скачал AV block remover и сделал collectionlog, файлы прикрепляю.
      Помогите пожалуйста.CollectionLog-2024.05.15-22.04.zipAV_block_remove_2024.05.15-18.34.log
    • stnslv0
    • Президент
      От Президент
      На рабочем столе услышал что все вентиляторы усердно работают, повышают шум вентиляторов волнами, в простое системы. Дошло аж до теплого воздуха от радиатора. Проц до 70 градусов и видяха до 60. Открываю диспетчер задачь, успеваю засечь нагрузку ЦП в 80% и резко падает до 2%, все скрытое отключается. И так пока диспетчер задач сам не закрывается на Вин 10, все тихо и спокойно, низкие температуры, нагрузка ЦП макс до 4% при малом действии. Затем через время, диспетчер задач перестает открываться дольше чем на долю секунды. Пока не перезагрузишь.
      К сожалению давно не работал с ПК, не понимаю уже, какой антивирус искать, поможет ли антивирус в таком случае. Так что помогите более подробно, какие программы скачать, какую вам информацию предоставить.
      Подозрение пока что есть только на торрент игры айдж вондерс 4, плюс регистрация с меню, мол для сейва аккаунта. Только во время этой игры обратил внимание, что система стала сильно шумно работать. Остальную историю могу отдельно после лечения перебрать, поискать подозрения.
    • Auyr
      От Auyr
      Здраствуйте, хочу уточнить, что на данный момент актуальная проблема это обнаруженный троян утилитой "Kaspersky Virus Removal Tool"(прикрепляю все скрины) , а также я проверил с помощью avz 4 мне также выдали 2 файла с трояном, также меня очень волнует в истории браузера при заходе на свою страницу "Вконтакте" возникают в огромном количестве непонятные ссылки каждую минуту около 100 штук, при переходе на которые ведут на начальную страницу со входом в аккаунт "ВК"(прикрепляю ссылки) такое я замечал еще ранее, на протяжении года минимум, также 30.04.24 возник экран смерти с ошибкой DCP_WATCH_violation (я перезагрузил ПК, далее подозрительных действий не наблюдалось)
      Скажу что был случай заражения вирусом в 2021 году в то время я снес виндоувс, (отформатировал полностью системный диск С) однако я не стал форматировать второй диск D, и вот сегодня 11.05 решил также проверить диск D и обнаружил как раз остатки трояна, однако до сегодняшнего момента очень явных признаков я не наблюдал (на протяжении 3 лет) , только если сослаться на торможение слегка своего ПК
      Скажу что использую базовую версию антивируса платного Касперский.
      Насчет файла default.rpd я взял сохраненное сообщение на другом форуме где мне не помогли привожу его ниже:
      """""Началось 2 июня 2023 , когда сидел в discord я начал демонстрацию экрана и заметил roaming window (предложено было дискордом демонстрировать данное окно, которое было черное) далее я начал проверку avz и когда она подходила к концу, неожиданно в чате дискорда началось печатания каких то букв , в этот момент я ничего не писал( клавиатура чиста, это не техника) текст был такой примерно "еуеуеуеуеуеуеу" далее я заметил в скрытых значках сенсорную клавиатуру, её значок ( у меня windows 10) которую я не открывал и не мог ее закрыть долгое время(сенсорная клавиатура появилась задолго до этого момента , я просто не обращал внимания) , далее я решил просто удалить старый антивирус бесплатный dr web и установил пробную версию премиум касперского и после этого вроде других действий не замечал до момента когда в папку документов появился скрытый документ default.rpd с размером 0 кб и созданием в тот момент когда я возился с проверками (2 июня ночью)""""
      Также уточню что 10.05.24 (вчера) установил solidworks крякнутый в сайта diakov (я уже пользовался им, проверенный, устанавливал офисы2016 и adobe), там я вводил какие то изменения в реестр по инструкции, ссылался на локальный хост, отключал сеть, программа работает. 
      Внизу прикладываю также скрины найденных файлов вирусных разными сканерами - avz(отдельно сканировал им без аутологгера)--2 файла удаленных привожу полное наименование одного из (CWindowsservicingLCUPackage_for_RollupFix~31bf3856ad364e35~amd64~~19041.4291.1.10amd64_microsoft-windows-m..nt-browser.appxmain_31bf3856ad364e35_10.0.19041.3636_none_708b8c01b2212346fsquare44x44logo.targetsize-48_altform-unplated_contrast-white.png)
      Если возникнут вопросы отвечу на всё и попытаюсь быстро реагировать 





      CollectionLog-2024.05.11-12.53.zip
×
×
  • Создать...