[РЕШЕНО] Помощь в удалении вирусов

[Егор Гвоздяный]

Здравствуйте! Помогите пожалуйста, большие проблемы с вирусами. Прикрепляю файлы FRST.txt и Addition.txt 

Архив.rar

Сообщение от модератора thyrex

Перенесено из темы

 

[safety]

25 минут назад, Егор Гвоздяный сказал:

большие проблемы с вирусами

«Порядок оформления запроса о помощи».

Логи прикрепите к следующему сообщению в текущей теме.

[Егор Гвоздяный]

Добрый день!
Проблема с вирусами-майнерами. Закрывались приложения браузеров при открытии сайтов с названиями вроде "как удалить вирус-майнер". Если и получалось найти вредоносные файлы, то после их удаления и последующего обновления ПК все возвращалось к исходному состоянию. Также в параметрах защитника Windows были строки типа "этим параметром управляет ваш администратор". При этом права администратора были у моей учетной записи. Невозможно включить или приостановить защитник windows. Он как бы перманентно в выключеном режиме.
Также не давал запустить установочные файлы каких-либо программ-антивирусов.

24-07-2024 123539.rar

[thyrex]

Продолжайте читать правила, ссылку на которые Вам дали, пока не сделаете все в точности, как там написано.

[Егор Гвоздяный]

CollectionLog-2024.07.24-13.31.zip

[safety]

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Загрузите в ваше сообщение файлы FRST.txt, Addition.txt

Изменено 24 июля, 2024 пользователем safety

[Егор Гвоздяный]

DESKTOP-DAQS523_2024-07-24_15-02-54_v4.15.7v.7z Addition.txt FRST.txt

[safety]

Выполняем очистку системы в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
delref SERVICE\WINSERV.EXE
apply

restart

После перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[safety]

+

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

 

Start::
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {CB351CA8-5343-4810-9CC9-21DF02624ED8} - System32\Tasks\Microsoft\Windows\WindowsBackup\BackUpFiles => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {932922B7-CD63-43DB-80BE-22CD6DE9B58F} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataBase => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {622300A1-FC1C-42CC-932A-8C7EB0175AB2} - System32\Tasks\Microsoft\Windows\WindowsBackup\ManagerSystem => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {6F414BF9-E81D-4FFB-9CA3-BA0D9B244B26} - System32\Tasks\Microsoft\Windows\WindowsBackup\MasterData => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {054220ED-7845-4DAE-A0E8-BFEA7038FD07} - System32\Tasks\Microsoft\Windows\WindowsBackup\OfficeCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {E9874C74-BDB7-4FB4-BF2E-06D62AFFF9E6} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {5B796ED2-A9C7-4F62-A74D-57CD01193FB2} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {A6C48B2F-4BC0-4A34-89ED-F762A7914EC0} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\NetFramework\bzAY6cHnRPwpOVkx\\Game.exe  -ppidar (Нет файла) <==== ВНИМАНИЕ
Task: {BB8523C8-93B2-4A92-8B7A-5672C4BA1B94} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {341F95B5-8ADA-4039-A6F2-0566C297878D} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {86D4862C-A6F4-40A2-8CC8-E6C0709EF39F} - System32\Tasks\Microsoft\Windows\MasterDataB\57tPzpREghGkZ75 => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {49B5B690-2C5C-4968-88C2-3D92769C8EE6} - System32\Tasks\Microsoft\Windows\MasterDataB\RecoveryHosts => C:\ProgramData\Microsoft\DRM\57tPzpREghGkZ75\MasterDataB.bat  (Нет файла) <==== ВНИМАНИЕ
Task: {BA252E98-DFF7-4277-9C05-D197BCA8CD55} - System32\Tasks\Microsoft\Windows\MasterDataB\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {91ECFABC-1318-4472-A627-F4CB2BAF07CE} - System32\Tasks\Microsoft\Windows\RecoveryManagerU\bzAY6cHnRPwpOVkx => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {027C2DAA-11DE-41C2-9745-B38CF709E676} - System32\Tasks\Microsoft\Windows\RecoveryManagerU\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
HKLM\SYSTEM\CurrentControlSet\Services\458D8DF3F4489514 <==== ВНИМАНИЕ (Rootkit!)
2023-10-30 12:02 C:\Program Files\AVAST Software
2023-10-30 12:02 C:\Program Files\AVG
2023-10-30 12:02 C:\Program Files\Bitdefender Agent
2023-10-30 12:02 C:\Program Files\ByteFence
2023-10-30 12:02 C:\Program Files\Cezurity
2023-10-30 12:02 C:\Program Files\COMODO
2023-10-30 12:02 C:\Program Files\DrWeb
2023-10-30 12:02 C:\Program Files\Enigma Software Group
2023-10-30 12:03 C:\Program Files\EnigmaSoft
2023-10-30 12:02 C:\Program Files\ESET
2023-10-30 12:02 C:\Program Files\HitmanPro
2023-10-30 12:02 C:\Program Files\Kaspersky Lab
2023-10-30 12:02 C:\Program Files\Loaris Trojan Remover
2023-10-30 12:02 C:\Program Files\Malwarebytes
2023-10-30 12:03 C:\Program Files\NETGATE
2023-10-30 12:03 C:\Program Files\Process Hacker 2
2023-10-30 12:02 C:\Program Files\Process Lasso
2023-10-30 12:03 C:\Program Files\QuickCPU
2023-10-30 12:02 C:\Program Files\Rainmeter
2023-10-30 12:02 C:\Program Files\Ravantivirus
2023-10-30 12:03 C:\Program Files\RogueKiller
2023-10-30 12:02 C:\Program Files\SpyHunter
2023-10-30 12:03 C:\Program Files\SUPERAntiSpyware
2023-10-30 12:03 C:\Program Files\Transmission
2023-09-01 20:50 C:\Program Files (x86)\360
2023-10-30 12:02 C:\Program Files (x86)\AVAST Software
2023-10-30 12:02 C:\Program Files (x86)\AVG
2023-10-30 12:02 C:\Program Files (x86)\Cezurity
2023-10-30 12:03 C:\Program Files (x86)\GPU Temp
2023-10-30 12:02 C:\Program Files (x86)\GRIZZLY Antivirus
2023-10-30 12:02 C:\Program Files (x86)\Microsoft JDX
2023-10-30 12:03 C:\Program Files (x86)\Moo0
2023-10-30 12:03 C:\Program Files (x86)\Panda Security
2023-06-20 17:01 C:\Program Files (x86)\SpeedFan
2023-10-30 12:02 C:\Program Files (x86)\SpyHunter
2023-10-30 12:03 C:\Program Files (x86)\Transmission
2024-07-24 12:04 C:\Program Files\Common Files\AV
2023-10-30 12:02 C:\Program Files\Common Files\Doctor Web
2023-10-30 12:02 C:\Program Files\Common Files\McAfee
2023-10-30 12:20 C:\ProgramData\360safe
2023-10-30 12:02 C:\ProgramData\AVAST Software
2023-10-30 12:02 C:\ProgramData\Avira
2023-10-30 12:03 C:\ProgramData\BookManager
2023-10-30 12:02 C:\ProgramData\Doctor Web
2023-10-30 12:02 C:\ProgramData\ESET
2023-10-30 12:02 C:\ProgramData\Evernote
2023-10-30 12:02 C:\ProgramData\FingerPrint
2023-10-30 12:02 C:\ProgramData\grizzly
2023-10-30 12:02 C:\ProgramData\McAfee
2023-06-17 22:31 C:\ProgramData\Norton
2023-10-30 12:03 C:\ProgramData\princeton-produce
2023-10-30 12:02 C:\ProgramData\PuzzleMedia
2023-10-30 12:02 C:\ProgramData\RobotDemo
2023-10-30 12:02 C:\ProgramData\WavePad
2023-10-30 12:02 C:\Users\User\Desktop\AutoLogger
2023-10-30 12:02 C:\Users\User\Desktop\AV_block_remover
2023-10-30 12:02 C:\Users\User\Downloads\AutoLogger
2023-10-30 12:02 C:\Users\User\Downloads\AV_block_remover
2023-10-30 12:03 C:\Users\User\AppData\Roaming\Sysfiles
John (S-1-5-21-3545903200-2587231345-2791559892-1002 - Administrator - Enabled)
FirewallRules: [{ED5A3D43-02EA-4185-A97E-731FAF05A258}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{BB50B549-CF45-450F-B46C-B533A626962A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{27DEE450-5417-47A8-8745-42714870C87E}] => (Block) LPort=445
FirewallRules: [{0BA451C8-FAAC-4F82-AA1B-E46BF26F9D2F}] => (Block) LPort=445
FirewallRules: [{3C0D6E91-54A0-4490-98F9-F5A1DD58F218}] => (Block) LPort=139
FirewallRules: [{8BF7ED67-A6AD-4920-A538-0D56541F1C54}] => (Block) LPort=139
FirewallRules: [{71563401-5E6D-4792-AC2E-2917C0FB305B}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{799E8643-2381-4CDC-B263-228AF4AACF69}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{45A5539A-F011-4E1F-ABA2-7CC6AA0BBA37}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{E9B6BB50-F00F-4E7B-9810-AF61412D77FE}] => (Block) LPort=445
FirewallRules: [{E9D16454-4D12-47B0-BB68-73D56B31D352}] => (Block) LPort=445
FirewallRules: [{EC524751-499D-452A-901D-B452DD0F8F08}] => (Block) LPort=139
FirewallRules: [{56FA8966-AF77-47B0-99D7-5849056A6CAB}] => (Block) LPort=139
FirewallRules: [{C2A7ED2C-698A-4FC9-872E-D38EDBC2D9AD}] => (Allow) LPort=3389
Reboot:
End::

После перезагрузки системы:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение.

Напишите о текущих проблемах.

[Егор Гвоздяный]

Fixlog.txt2024-07-24_15-29-33_log.txt

[safety]

Напишите о текущих проблемах.

 

Основная очистка после майнера выполнена.

 

 Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Егор Гвоздяный]

Не могу назвать никаких текущих проблем

 

SecurityCheck.txt

[safety]

Выполните по возможности обновление указанного ПО:

 

Kaspersky v.21.17.7.539 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления
AnyDesk v.ad 7.0.15 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.126.0.2592.113
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления

Whatsapp 2.5.31 v.2.5.31 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.

µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
K-Lite Mega Codec Pack 17.2.5 v.17.2.5 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.24.002.20895 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Yandex v.24.6.3.770 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

CCleaner 6.26.11169 v.6.26.11169 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра.

Carambis Cleaner v.1.5.0.1240 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра

Архиватор РАР 2.6.1 v.2.6.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

[Егор Гвоздяный]

Благодарю!

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".