[РЕШЕНО] Поймал вирусы

[siemensok]

Приветствую. Поймал какие то вирусы. При включении ПК запускалось какое то приложение через командную строку. Проверил с помощью касперского, он что то нашел и вылечил. Воспользовался AV block remover, он нашел "левого" пользователя John и удалил его вроде как. После этого ошибка при включении ПК вроде как пропала, но боюсь что в дальнейшем может появится снова. Подскажите пожалуйста что можно ещё сделать?

AV_block_remove_2024.04.28-12.24.log CollectionLog-2024.04.28-12.29.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[siemensok]

FRST64.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {00446CF1-8668-472D-BEDD-D0BB88DBA009} - \Microsoft\Windows\Registry\RegIdleBackup -> Нет файла <==== ВНИМАНИЕ
Task: {008539BF-83F9-4483-9E0A-EEEE6EAC0A08} - \Microsoft\Windows\Shell\UpdateUserPictureTask -> Нет файла <==== ВНИМАНИЕ
Task: {117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense -> Нет файла <==== ВНИМАНИЕ
Task: {12DF3F8A-9612-48CA-AE38-2818FA70CA73} - \Microsoft\Windows\HelloFace\FODCleanupTask -> Нет файла <==== ВНИМАНИЕ
Task: {1FD2873E-84FC-4CAF-AE91-06A23CD40BD6} - \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner -> Нет файла <==== ВНИМАНИЕ
Task: {1FDAEDB1-C8AA-43FA-B046-3CDDDA12661E} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> Нет файла <==== ВНИМАНИЕ
Task: {21BC5CBD-E20B-4A45-B84C-39C4E785D4E6} - \Microsoft\Windows\Shell\FamilySafetyRefresh -> Нет файла <==== ВНИМАНИЕ
Task: {293709A0-3365-47BB-AD43-68F365D83AFC} - \Microsoft\Windows\Application Experience\MareBackup -> Нет файла <==== ВНИМАНИЕ
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Нет файла <==== ВНИМАНИЕ
Task: {3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
Task: {3A6DB6F9-A355-420A-B6E0-7C54D12F4033} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> Нет файла <==== ВНИМАНИЕ
Task: {3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
Task: {3E51A991-10E2-4B16-B5B4-A2F051544BB9} - \Microsoft\Windows\User Profile Service\HiveUploadTask -> Нет файла <==== ВНИМАНИЕ
Task: {4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan -> Нет файла <==== ВНИМАНИЕ
Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ
Task: {4F2030CE-BA8E-4122-B9A8-29AA5858973E} - \Microsoft\Windows\Flighting\OneSettings\RefreshCache -> Нет файла <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
Task: {54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
Task: {559B0F92-63C4-4001-AE5E-A650091C71B8} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance -> Нет файла <==== ВНИМАНИЕ
Task: {5E541542-3CC7-4216-B9A8-C6BA34979C00} - \Microsoft\Windows\Registry\OOBE-Maintenance -> Нет файла <==== ВНИМАНИЕ
Task: {6F063424-E8AD-40FA-92B9-CD047EC2A92A} - \Microsoft\Windows\Maintenance\WinSAT -> Нет файла <==== ВНИМАНИЕ
Task: {701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask -> Нет файла <==== ВНИМАНИЕ
Task: {73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {75A35C91-670A-4071-BB93-066651438E14} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> Нет файла <==== ВНИМАНИЕ
Task: {7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload -> Нет файла <==== ВНИМАНИЕ
Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
Task: {821D6F9C-BF43-49CB-A3F4-DE4C0EC419E2} - \Microsoft\Windows\Flighting\FeatureConfig\ReconcileFeatures -> Нет файла <==== ВНИМАНИЕ
Task: {86158314-60CF-4F3F-85B5-2399327EA496} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange -> Нет файла <==== ВНИМАНИЕ
Task: {92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient -> Нет файла <==== ВНИМАНИЕ
Task: {935D8DAB-7A3B-437F-BE56-2A18175603E3} - \Microsoft\Windows\Shell\ThemesSyncedImageDownload -> Нет файла <==== ВНИМАНИЕ
Task: {ADF61F20-211E-49E7-B49D-E1C48085BEAC} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ
Task: {B11BDA6F-0D93-455B-A6DC-8955BA80DC9B} - \Microsoft\Windows\Live\Roaming\MaintenanceTask -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {BAEB8762-68E5-400B-B0F5-0C4A00F18093} - \Microsoft\Windows\Offline Files\Logon Synchronization -> Нет файла <==== ВНИМАНИЕ
Task: {C0E197F6-2E40-46FD-83DA-BE8704EF2CE5} - \Microsoft\Windows\Ras\MobilityManager -> Нет файла <==== ВНИМАНИЕ
Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ
Task: {C4C11C95-C597-4541-B0FF-0FB2C761FC92} - \Microsoft\Windows\Time Zone\SynchronizeTimeZone -> Нет файла <==== ВНИМАНИЕ
Task: {C616073F-6C0B-47A0-9A54-8D3569BBC011} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ
Task: {C9ABE41C-5E65-4E52-8BAD-4F1BCA3B5715} - \Microsoft\Windows\AppxDeploymentClient\Pre-staged app cleanup -> Нет файла <==== ВНИМАНИЕ
Task: {C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics -> Нет файла <==== ВНИМАНИЕ
Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ
Task: {CFF53BF5-3FFB-4F7C-B7FF-68A8D7F37F1D} - \Microsoft\Windows\Live\Roaming\SynchronizeWithStorage -> Нет файла <==== ВНИМАНИЕ
Task: {D2A0B012-7555-48BE-9345-641EAF585E9F} - \Microsoft\Windows\Offline Files\Background Synchronization -> Нет файла <==== ВНИМАНИЕ
Task: {D9353C30-D505-4F11-8F95-55F3DDA1E214} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> Нет файла <==== ВНИМАНИЕ
Task: {DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup -> Нет файла <==== ВНИМАНИЕ
Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ
Task: {E32B86AB-ABAA-45A7-9BE7-9BB2E6B7837D} - \Microsoft\Windows\Location\WindowsActionDialog -> Нет файла <==== ВНИМАНИЕ
Task: {E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - \Microsoft\Windows\Windows Defender\Windows Defender Verification -> Нет файла <==== ВНИМАНИЕ
Task: {E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask -> Нет файла <==== ВНИМАНИЕ
Task: {E88D9B2C-DDEA-47B2-9582-085153004DB5} - \Microsoft\Windows\Location\Notifications -> Нет файла <==== ВНИМАНИЕ
Task: {ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
Task: {F5E862B9-98AE-458E-BC87-3ED25EFBB4D3} - \Microsoft\Windows\Time Synchronization\ForceSynchronizeTime -> Нет файла <==== ВНИМАНИЕ
Task: {F8FEDA28-6261-4385-844A-684E6C988577} - \Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh -> Нет файла <==== ВНИМАНИЕ
Task: {D498764E-C742-431C-8125-DD3EACD2944C} - System32\Tasks\dwm => "C:\Users\Евгений\AppData\dwm.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {6DF50661-A83E-4C03-8824-9A61D654637F} - System32\Tasks\dwmd => "C:\Users\Евгений\AppData\dwm.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {084D1E6E-F5E9-4DA7-BCF9-D08105BE6A55} - System32\Tasks\Idle => "C:\Users\Administrator\Idle.exe"  (Нет файла)
Task: {9E54EC24-FDE9-47DB-9F72-92705CB5B453} - System32\Tasks\IdleI => "C:\Users\Administrator\Idle.exe"  (Нет файла)
Task: {04A1D0D9-1196-44F8-94C8-293EE0466949} - System32\Tasks\RuntimeBroker => "C:\Users\Default User\RuntimeBroker.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {CB5337CB-BD9C-4BC2-83D2-BBA3A143973A} - System32\Tasks\RuntimeBrokerR => "C:\Users\Default User\RuntimeBroker.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {2F0DCF12-21E8-423A-B44E-F290750E19AF} - System32\Tasks\sihost => "C:\Users\All Users\Start Menu\sihost.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {F0F66CA1-FC0C-4B27-85AC-40449234FB0E} - System32\Tasks\sihosts => "C:\Users\All Users\Start Menu\sihost.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {46F2728B-0258-4A73-93C1-DCEC45F7A22B} - System32\Tasks\steamwebhelper => "C:\Users\Default\My Documents\steamwebhelper.exe"  (Нет файла)
Task: {0A658478-7502-454A-AD86-D2230F167874} - System32\Tasks\steamwebhelpers => "C:\Users\Default\My Documents\steamwebhelper.exe"  (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2899228793-2878877905-1779397764-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
S3 HWiNFO_187; \??\C:\Temp\HWiNFO64A_187.SYS [X]
2024-04-26 18:20 - 2024-04-26 18:20 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-04-26 18:20 - 2024-04-26 18:20 - 000000000 __SHD C:\Program Files (x86)\Wise
2024-04-26 18:19 - 2024-04-26 18:19 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
CustomCLSID: HKU\S-1-5-21-2899228793-2878877905-1779397764-1002_Classes\CLSID\{5c5a90ec-7beb-1fd4-1a96-b7fa7811b927}\localserver32 -> "C:\Users\Евгений\Desktop\fancontrol\FanControl.exe" -ToastActivated => Нет файла
AlternateDataStreams: C:\Users\Евгений\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Евгений\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{3EA83DB1-A602-45FC-92F4-4A582A01C691}] => (Block) C:\Windows\system32\hh.exe => Нет файла
FirewallRules: [{831871B5-9CDB-4F0C-B6B1-20085F1C72CD}] => (Allow) C:\Users\Евгений\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
FirewallRules: [{7D4735F0-8768-48DB-B72F-64FA0B6B3667}] => (Allow) C:\Temp\beetle-cab\DriverPack\tools\aria2c.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[siemensok]

Fixlog.txt

[thyrex]

Что с проблемой?

[siemensok]

2 часа назад, thyrex сказал:

Что с проблемой?

Проблема была решена, как я и писал в первом сообщении ещё на этапе когда я воспользовался AV block remover и Касперским. Просто были кое какие сомнения что вирус полностью удалился. Скинул вчера FixLog.txt то что вы просили и собственно ждал от Вас ответа) Всё ли там нормально по итогу? Если на этом всё, то спасибо большое за помощь.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[siemensok]

SecurityCheck.txt

[thyrex]

------------------------------- [ Windows ] -------------------------------

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9021 Внимание! Скачать обновления
Telegram Desktop v.4.15 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.124.0.6367.63 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

по возможности исправьте указанное, и на этом закончим

[siemensok]

Ещё раз спасибо большое за помощь. Очень помогли.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".