[РЕШЕНО] Заражение

[User-01001]

Здравствуйте!
Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
К слову был активен RDP местами валялись логи.
 Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
Нужна помощь добить бяку и восстановить что она там еще порушить успела

CollectionLog-2025.05.03-10.34.zip

Изменено 3 мая, 2025 пользователем User-01001
Логи забыл

[kmscom]

28 минут назад, User-01001 сказал:

сидел без антивируса несколько лет, полагаясь на себя.

даже сидя с антивирусом, все равно надо полагаться на себя .... и на антивирус тоже. дважды понадежней будет.

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - HKLM\..\StartupApproved\StartupFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk    ->    C:\Program Files\MediaTek\SP Driver\SPDriverInstall (file missing) (2025/05/02)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft - 
O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates - 
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\24.12.3.592\service_update.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{223F0AC4-4294-4D78-B843-2C6835B8BC1C} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{40ECCEF9-3801-4441-B988-64CEFC0C294D} - \Microsoft\Windows\WindowsBackup\ManagerSystem (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5AFC2B50-50AC-4BBD-9956-CAEA936AE38A} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A30038A7-CB5B-4A50-8595-D3E4C0850758} - \Microsoft\Windows\WindowsBackup\OnlogonCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F4A5B448-8446-464E-94D0-EDBD366A2615} - \Microsoft\Windows\RecoveryManagerS\RecoveryHosts (no xml)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[User-01001]

Готово.
И еще обратил внимание (вчера это появилось, думаю связано) при запущенном браузере без открытых вкладок (только стартовое табло) в диспетчере задач 14-17 его процессов.
И скачущая проблема, уже при закрытом браузере остаются висеть две в процессах. одна на 70 мегабайт, вторая копейки жрет. в ручную если закрыть, не появляются. 
Это на основном. на остальных не проверял

Addition.txt FRST.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2025-05-02 18:16 - 2025-05-02 18:16 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

39 минут назад, User-01001 сказал:

в диспетчере задач 14-17 его процессов

это норма для современных браузеров

[User-01001]

Выполнено

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[User-01001]

7 минут назад, thyrex сказал:

Прикрепите этот файл в своем следующем сообщении.

 

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
simplewall v.3.6.1 Внимание! Скачать обновления
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
qBittorrent v.5.0.4 Внимание! Скачать обновления
Microsoft Edge v.131.0.2903.99 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

[User-01001]

Исправим.
Благодарю за помощь

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".