Не могу понять, что за вредоносное ПО

[Мала]

После установки пиратского ПО (google sketch up) нанятым «помощником» сначала скорость интернета просела до двух мегабит в секунду на пару дней. Сканирование компа kaspersky internet security угроз не обнаружило. 

Через еще пару дней нечто заблокировало браузер и возможность скачивания. Интернет был, но страницы гугл хлома не загружались. Клик по диагностике сети выдавал «удаленное устройство или ресурс не принимает подключение». При этом десктопный востап обновлялся. Но посланную через него антивир утилиту скачать не удавалось.
Следом поступил звонок с номера «из Молдовы», который я брать не стала. и поняла, что видимо щас «сотрудники фсб» будут взламывать мои госуслуги. Похоже, что это было нечто, что скачало с компа все данные и логины пароли. 
Нанятый лечитель вирусов с youdo удаленно помог снять странные установленные каким-то патчем ограничения с браузера и почистил шесть каких-то вирусов разными утилитами.

В финале я в безопасном режиме еще раз проверила утилитой cureit др веба. И он нашел один какой-то файл и удалил. 
 

4 дня всё поработало бесперебойно. Сегодня снова появился симптом про браузер. То есть нечто управляющее браузером все еще сидит на компе.  Пирасткое ПО правда так и осталось не снесённым. Но есть ощущение что снос ПО не поможет и надо что-то хитрее предпринять. 
 

Да, впн стоял и исправно без странных симптомов работал более полутора лет без обновлений. Приложения hiddify, сервер от papervpn. 

Я очень неопытный женщина-юзер. Помогите, пожалуйста, понять что можно сделать. 

 

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[Мала]

12.03.2025 в 15:26, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

Справилась с инструкцией. Ни одна утилита ничего не видит. Ни в обычном режиме, ни в безопасном.
Сделала на всякий случай два файла с логами. Один (от 16 марта) сделан во время того как нечто заблочило браузер - были введены ручные настройки прокси, которые стопорили всё. 
С помощником вернули все назад, и я сделала второй файл логов от 17 марта. 
Производительность просела. Начали вылетать "тяжелые" проги. Несмотря на то, что ноут прежде мог монтировать кино и не жаловался. 

CollectionLog-2025.03.16-10.53.zip CollectionLog-2025.03.17-22.33.zip

 

Кажется, я нашла. Но не понимаю, что делать. Почитала на всяких форумах о похожих невидимых вирусах и скачала Trojan Remover. Он нашел ровно там, где я подозревала в папке пиратского Google Sketch Up. Не понимаю как дальше с этим работать. Прикрепляю файл логов созданный Trojan Remover

 

 

ScanLog_2025-03-18 [01-47-13] - Trojan Remover Log file.txt

Что делать не понимаю, потому что Trojan Remover купить невозможно. А как эти файлы "перенести в карантин" руками - не знаю.

[Sandor]

6 часов назад, Мала сказал:

Trojan Remover купить невозможно

Удалите его. Как минимум - бесполезен и относится к типу т.н. ScareWare, т.е. пугающее ПО.

 

Пока в логах не видно ничего явно вредоносного.

 

Сделайте дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Мала]

Большой спасибо, Sandor! 
Снижаю градус паники.

Addition.txt FRST.txt

[Sandor]

Loaris Trojan Remover 3.3.7 по-прежнему в списке установленных. Удалите его, перезагрузите компьютер и соберите новые логи FRST.txt и Addition.txt

Дочистим его следы (и некоторые другие), если останутся.

[Мала]

Спасибо за терпеливое отношение к нам, ламерам!

Удалила. 
Похоже, я зря отняла ваше время. Обнаружила путём наблюдений, что браузер блокирует нечто из папки пиратского Google Sketch up. После запуска программы, не смотря на галочку "использовать автоматический прокси", некий патч каким-то макаром меняет всё на ручные настройки прокси и браузер перестает работать. Просто плохо крякну-то видимо. А я понапридумывала бог знает что... Мошенники-то и без троянов постоянно звонят. 

Addition.txt FRST.txt

[Sandor]

Всё же кое-что дочистим.

 

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {6954604B-4484-4C06-B101-05376BDA4BAC} - System32\Tasks\Trojan Remover => "C:\Program Files\Loaris Trojan Remover\ltr.exe"  (Нет файла)
  S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [42040 2025-03-07] (Microsoft Windows Hardware Compatibility Publisher -> )
  2025-03-18 02:52 - 2025-03-18 02:52 - 000003206 _____ C:\Windows\system32\Tasks\Trojan Remover
  2025-03-17 23:27 - 2025-03-17 23:27 - 000000000 ____D C:\ProgramData\Loaris
  2025-03-16 12:13 - 2025-03-16 12:13 - 000000000 ____D C:\Program Files\McAfee
  2025-03-07 23:37 - 2025-03-07 23:38 - 000000000 ____D C:\ProgramData\HitmanPro
  AlternateDataStreams: C:\Users\user:Index [148]
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Мала]

После перезагрузки вернулся опять симптомчик с прокси. Опять включились ручные настройки. Адрес 127.0.0.1 порт 12334, что бы это ни значило. 

 

Fixlog.txt

 

черт, я забыла отключить до перезагрузки антивирус

[Sandor]

Не страшно. Удалите старые и соберите новые логи FRST.txt и Addition.txt

[Мала]

готово

Addition.txt FRST.txt

[Sandor]

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  ProxyServer: [S-1-5-21-706500522-1066114553-3980722917-1001] => hxxp://127.0.0.1:12334
  DnsPolicyConfig: [DNS_RESILIENCY_fe3cr.delivery.mp.microsoft.com] => GenericDNSServers=162.159.36.2
  DnsPolicyConfig: [DNS_RESILIENCY_slscr.update.microsoft.com] => GenericDNSServers=162.159.36.2
  2025-03-07 23:53 - 2025-03-07 23:54 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GridinSoft Anti-Malware
  2025-03-07 23:53 - 2025-03-07 23:53 - 000000000 ____D C:\ProgramData\GridinSoft
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Мала]

После перезагрузки вылезло сообщение что Брандмауэр защитника Windows заблокировал некоторые функции этого приложения - Google Chrome

Fixlog.txt

[Sandor]

Хорошо бы увидеть скриншот этого сообщения.

Последите дальше как будет себя вести система. Пока в завершение сделайте следующее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить. При необходимости скачаете заново актуальную версию.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Мала]

Прикрепляю скрин после прошлой перезагрузки. Там была отмечена галочкой "частные сети". Я разрешила. 
Деинсталировала FRST, после перезагрузки брандмауэр выдал такое же сообщение, но уже с галочкой, отмеченной на общественных сетях. Нажала "отмена". Прикрепляю скрин второго сообщения тоже. 

SecurityCheck.txt