Помогите добить вирусы

[Malox 0]

Буквально пару часов назад заразился каким то комбо из троянов и майнеров.
Вирусы блокировали работу браузера, а так же уже существующего антивируса
Сделал бэк системы, и возможно мне повезло тем что вирусы не успели развернутся, скачал KVRT
Показывало что один из вирусов был вшит в оперативную память что и является моим главным опасением
еще один был прописан в System32\drivers\ets\hosts, и так же по пути C:\ProgramData\WindowsTask\ указывало Trojan.Multi.Agent.n и там был xml файл в котором как я предполагаю было прописано то что мешало нормальной работе браузера
Хоть и KVRT показывает что вирусы удалены, у меня все еще блокируется работа Discord, я хочу до конца добить то что попало ко мне

Прикрепляю логи и скриншоты с KVRT
UPD: В системе присутствовал пользователь John 

 

CollectionLog-2024.01.23-23.28.zip report1.log report2.log

Изменено 23 января пользователем Malox

[thyrex 1 473]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Malox 0]

Пожалуйста

 

FRST.rar AV_block_remove_2024.01.24-15.13.log

[thyrex 1 473]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [Microsoft Edge Update] => C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\MicrosoftEdgeUpdateCore.exe [264264 2023-10-26] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [EACUpdate] => E:\Rust\EACUpdater.exe (Нет файла)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [YandexBrowserAutoLaunch_1CD66D9B0A655834B0AFDF59029CEA7C] => "C:\Users\Ачкобус\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {46AAF0D2-8B8C-4896-9CBA-51097FABC57D} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe  -sr (Нет файла)
Task: {EB503219-E7BC-4F21-A05E-1B9DCB32932F} - System32\Tasks\Opera GX scheduled Autoupdate 1689330673 => C:\Users\Ачкобус\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\PerfLogs:err [1732]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [964]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [964]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [964]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [964]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [964]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5782]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT2 [964]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT2 [964]
FirewallRules: [TCP Query User{CEE1A04C-43B5-4267-840C-37A1D1A7C339}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [UDP Query User{A950F40A-3304-43AB-A133-14AC71863203}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [TCP Query User{F0B412DB-CFFF-46C6-A98D-B377575E00E3}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [UDP Query User{57A25BCC-C4B2-4F55-BA50-D6BB659EF0C4}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [{82DC77FE-BCB8-45AA-8960-D22FC6E83476}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2E6A89AE-FF7A-4469-BFF7-772C567C5298}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{DDDC24D0-C105-485F-BD17-3CA4440AC14E}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [UDP Query User{83192CB3-F6DB-45F7-B051-F66FF0E3322C}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [TCP Query User{089D6F9D-9FDB-4276-8D8D-99F3290B4E55}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{0240C193-D859-4B2B-A4FD-E680E5445581}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{14EC9DBF-1032-44E6-AC05-5872127F2D27}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{4A5958C3-6BE7-46CE-924B-8CB7A5B4DFEF}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D038615C-E44E-461E-BBD1-FAA40322FEA4}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{480278F7-FA7D-4DD6-B15A-0C61BB86D051}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{FB7876FD-992C-4C1C-9B06-61FDB11D112E}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [{EBCF5016-A98D-4ACC-80E0-EDC583EB7E28}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [TCP Query User{1C1B7C76-6E24-4D31-A8E3-D4C768AC8C26}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7ACB0BC5-6E90-4FCF-8DAB-F7022F342D8F}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{8A4B7CC5-4BBB-4305-BCAA-F9AF0FEC5215}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{DC5B200D-645C-4074-8907-530CB4A8B80D}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [{2BBBC18E-F718-4A5D-845A-CD2D1D58737D}] => (Allow) E:\prbf2_1.7.4.0_full\prbf2.exe => Нет файла
FirewallRules: [{7F48A7FE-DAD7-4B8C-9055-46BAB070BDEC}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRLauncher.exe => Нет файла
FirewallRules: [{DCEE8D49-D0E1-4A82-924B-652E86D326F7}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRUpdater.exe => Нет файла
FirewallRules: [{21D36812-7185-4373-8C21-86358849D8DA}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRMumble\PRMumble.exe => Нет файла
FirewallRules: [{30189877-6354-4FEC-8632-0EDB9DFA09A0}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
FirewallRules: [{AD0D5E0B-FCCC-4D1E-8ABA-1F6424D16E46}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.