Помогите добить вирусы

23 января, 2024

Буквально пару часов назад заразился каким то комбо из троянов и майнеров.
Вирусы блокировали работу браузера, а так же уже существующего антивируса
Сделал бэк системы, и возможно мне повезло тем что вирусы не успели развернутся, скачал KVRT
Показывало что один из вирусов был вшит в оперативную память что и является моим главным опасением
еще один был прописан в System32\drivers\ets\hosts, и так же по пути C:\ProgramData\WindowsTask\ указывало Trojan.Multi.Agent.n и там был xml файл в котором как я предполагаю было прописано то что мешало нормальной работе браузера
Хоть и KVRT показывает что вирусы удалены, у меня все еще блокируется работа Discord, я хочу до конца добить то что попало ко мне

Прикрепляю логи и скриншоты с KVRT
UPD: В системе присутствовал пользователь John

CollectionLog-2024.01.23-23.28.zipПолучение информации... report1.logПолучение информации... report2.logПолучение информации...

Изменено 23 января, 2024 пользователем Malox

23 января, 2024

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

24 января, 2024

Пожалуйста

FRST.rarПолучение информации... AV_block_remove_2024.01.24-15.13.logПолучение информации...

27 января, 2024

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [Microsoft Edge Update] => C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\MicrosoftEdgeUpdateCore.exe [264264 2023-10-26] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [EACUpdate] => E:\Rust\EACUpdater.exe (Нет файла)
HKU\S-1-5-21-4083680754-2967969922-7850087-1001\...\Run: [YandexBrowserAutoLaunch_1CD66D9B0A655834B0AFDF59029CEA7C] => "C:\Users\Ачкобус\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {46AAF0D2-8B8C-4896-9CBA-51097FABC57D} - System32\Tasks\BlueStacksHelper_nxt => C:\Program Files\BlueStacks_nxt\BlueStacksHelper.exe  -sr (Нет файла)
Task: {EB503219-E7BC-4F21-A05E-1B9DCB32932F} - System32\Tasks\Opera GX scheduled Autoupdate 1689330673 => C:\Users\Ачкобус\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{71A728BB-0769-4F45-9880-2BABA2C6FD35}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.157.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{9CCE22DC-79C6-42A2-B005-864842A35AF3}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.77\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{C186B914-C8E6-468F-9AEF-052F801AAD0C}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.155.85\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Ачкобус\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4083680754-2967969922-7850087-1001_Classes\CLSID\{f9517764-05a4-a748-620a-95087d06a241}\localserver32 -> "C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\PerfLogs:err [1732]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [964]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [964]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [964]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [964]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [964]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5782]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\Application Data:NT2 [964]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Ачкобус\AppData\Roaming:NT2 [964]
FirewallRules: [TCP Query User{CEE1A04C-43B5-4267-840C-37A1D1A7C339}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [UDP Query User{A950F40A-3304-43AB-A133-14AC71863203}C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe] => (Block) C:\users\ачкобус\appdata\local\programs\opera gx\opera.exe => Нет файла
FirewallRules: [TCP Query User{F0B412DB-CFFF-46C6-A98D-B377575E00E3}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [UDP Query User{57A25BCC-C4B2-4F55-BA50-D6BB659EF0C4}D:\steam\steam.exe] => (Allow) D:\steam\steam.exe => Нет файла
FirewallRules: [{82DC77FE-BCB8-45AA-8960-D22FC6E83476}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{2E6A89AE-FF7A-4469-BFF7-772C567C5298}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{DDDC24D0-C105-485F-BD17-3CA4440AC14E}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [UDP Query User{83192CB3-F6DB-45F7-B051-F66FF0E3322C}C:\program files\e2esoft\ivcam\ivcam.exe] => (Block) C:\program files\e2esoft\ivcam\ivcam.exe => Нет файла
FirewallRules: [TCP Query User{089D6F9D-9FDB-4276-8D8D-99F3290B4E55}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [UDP Query User{0240C193-D859-4B2B-A4FD-E680E5445581}E:\the long drive\thelongdrive.exe] => (Allow) E:\the long drive\thelongdrive.exe => Нет файла
FirewallRules: [{14EC9DBF-1032-44E6-AC05-5872127F2D27}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{4A5958C3-6BE7-46CE-924B-8CB7A5B4DFEF}] => (Block) E:\steamlibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D038615C-E44E-461E-BBD1-FAA40322FEA4}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{480278F7-FA7D-4DD6-B15A-0C61BB86D051}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Caliber.exe => Нет файла
FirewallRules: [{FB7876FD-992C-4C1C-9B06-61FDB11D112E}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [{EBCF5016-A98D-4ACC-80E0-EDC583EB7E28}] => (Allow) E:\SteamLibrary\steamapps\common\Caliber\Game.exe => Нет файла
FirewallRules: [TCP Query User{1C1B7C76-6E24-4D31-A8E3-D4C768AC8C26}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7ACB0BC5-6E90-4FCF-8DAB-F7022F342D8F}E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) E:\фильмы\ready or not portable by pioneer\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{8A4B7CC5-4BBB-4305-BCAA-F9AF0FEC5215}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{DC5B200D-645C-4074-8907-530CB4A8B80D}E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла
FirewallRules: [{2BBBC18E-F718-4A5D-845A-CD2D1D58737D}] => (Allow) E:\prbf2_1.7.4.0_full\prbf2.exe => Нет файла
FirewallRules: [{7F48A7FE-DAD7-4B8C-9055-46BAB070BDEC}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRLauncher.exe => Нет файла
FirewallRules: [{DCEE8D49-D0E1-4A82-924B-652E86D326F7}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRUpdater.exe => Нет файла
FirewallRules: [{21D36812-7185-4373-8C21-86358849D8DA}] => (Allow) E:\prbf2_1.7.4.0_full\mods\pr\bin\PRMumble\PRMumble.exe => Нет файла
FirewallRules: [{30189877-6354-4FEC-8632-0EDB9DFA09A0}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
FirewallRules: [{AD0D5E0B-FCCC-4D1E-8ABA-1F6424D16E46}] => (Allow) E:\SteamLibrary\steamapps\common\Squad\squad_launcher.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Помогите добить вирусы

Рекомендуемые сообщения

Malox

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Malox

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum