Остатки вируса майнера и ограничения защитника Windows

[Artem1994]

Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 

CollectionLog-2025.04.26-22.44.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\wlpg: [CLSID] = {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NCH Software (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System (empty)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\MapInfo - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Artem1994]

FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [SPUpDateServerrun] => C:\Program Files (x86)\hik\update_server\startUp.exe (Нет файла)
HKLM-x32\...\Run: [supportserver] => C:\Program Files (x86)\hik\supportserver\YS_Dameon.exe (Нет файла)
HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {EE1DB05E-7414-4F56-BE6D-16403E0284F4} - System32\Tasks\Microsoft\Windows\SysFilesC\RecoveryHosts => C:\ProgramData\Microsoft\MapData\qxmhpapdPMUUIx\SysFilesC.bat  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-809370347-1830867119-4228320239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: shipin7 -> C:\Program Files (x86)\hik\PCPlayer\npSP7WebVideoPlugin.dll [Нет файла]
FF Plugin-x32: shipin7safebox -> C:\Program Files (x86)\hik\PCPlayer\npSafePlugin.dll [Нет файла]
FF Plugin-x32: shipin7update -> C:\Program Files (x86)\hik\PCPlayer\npUpdataPlugin.dll [Нет файла]
2019-01-11 13:21 C:\Program Files\Process Hacker 2
2018-10-28 00:26 C:\Program Files (x86)\360
2018-10-30 00:51 C:\ProgramData\AVAST Software
2020-11-17 00:36 C:\ProgramData\Doctor Web
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140]
FirewallRules: [{9FE12A2A-97CD-4541-9A0C-F65F0F462B1A}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{201CEEED-9527-48E5-93E8-C869F5BBBF92}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [TCP Query User{E034B26B-887C-4DE5-9A3A-655FECF11B7F}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe => Нет файла
FirewallRules: [UDP Query User{5D14B5DA-57A6-40A4-9EC1-42EBA6BC7867}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe => Нет файла
FirewallRules: [TCP Query User{1E7D98B8-E551-482A-BF1E-B423DD9388FB}C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{85F35B9A-94B2-4FB0-A16F-C17054ECE372}C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{EA4D6E88-1897-4B5E-AA31-DFBCF3E98E43}C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{850C880C-1C1A-48B6-A687-70E4A9DE24E3}C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{2CFF9F37-86CE-424C-A392-DDA5BD4FF8E4}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [UDP Query User{B5FCEB5F-6244-4B3D-AF95-CF015CAF1880}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [{1BA407CB-C53D-4B14-8AF6-6F11C23B2789}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{D3DD44BF-D681-43E7-A2C1-D0AC902FB1F5}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{AECC89BA-CA84-4F3B-B091-5F84FEAAAE97}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{49120594-E7F2-4772-9F5F-474C5E03FD90}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{8F6EEC64-FD76-4967-BDF4-1928EE277BB0}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F7AA0D99-8B47-42A8-BE91-C62ED802916E}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [TCP Query User{06EDB67F-301F-4817-A58C-6F60448F0613}C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe] => (Block) C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe => Нет файла
FirewallRules: [UDP Query User{EF23F3DC-38A6-4EB9-A182-2503E7325585}C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe] => (Block) C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe => Нет файла
FirewallRules: [TCP Query User{BB13963F-BC52-4A92-9A41-100FE3CBDD30}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [UDP Query User{E4CC48C1-3B11-46A3-9DFC-BBBE50812DF5}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [TCP Query User{9B442427-AB95-4274-A9AF-52949EA7E1EE}C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{F6548C16-D987-4D6F-8D1B-71DBF81E1C18}C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe => Нет файла
FirewallRules: [{9A8BD272-4BCD-4038-AF84-82BBF55637CE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{755AB07B-6F58-4F33-9316-7DE0DD4EA41B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{A9717778-FB85-4B2C-B3FE-BF170F813604}E:\sdi_rus\sdi_x64_r2201.exe] => (Allow) E:\sdi_rus\sdi_x64_r2201.exe => Нет файла
FirewallRules: [UDP Query User{B7361E90-4D41-4EDD-A356-0D958B0D45BB}E:\sdi_rus\sdi_x64_r2201.exe] => (Allow) E:\sdi_rus\sdi_x64_r2201.exe => Нет файла
FirewallRules: [{AF23B12C-127C-477D-8FFF-9CBE7D97B4F4}] => (Allow) C:\Program Files (x86)\Tencent\WeChat\WeChatBrowser.exe => Нет файла
FirewallRules: [{628B95E8-6405-408D-BB17-C8DC5967E1EB}] => (Allow) C:\Program Files (x86)\Tencent\WeChat\WeChatPlayer.exe => Нет файла
FirewallRules: [{14DA1B9D-E567-40FE-B35C-2556F4821A0C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{587CEA7A-A870-4600-99D2-F02A6C338759}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [TCP Query User{16F8D873-4BE1-4192-86C8-D279903E744E}C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe => Нет файла
FirewallRules: [UDP Query User{46A61A00-F08A-47D3-B563-1A224C8EA181}C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe => Нет файла
FirewallRules: [TCP Query User{2776C84F-B3FC-434C-ADEB-8CA8A03551E5}C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A30F630E-D184-4EB4-BCC0-EDC668601162}C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Artem1994]

Fixlog.txt

[thyrex]

Проблема решена?

[Artem1994]

Я думал от Вас получить информацию, все ли нормально на компьютере, при использовании проблем не возникает. Спасибо большое!