Неизвестный вирус

[Nickz1337]

Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.

При этом вирус как я понимаю дает пользоваться портами без проблем. 
Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?

 

Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.

 

Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?

 

Изменено 15 часов назад пользователем Nickz1337

[thyrex]

Здравствуйте.

 

Если Вы внимательно читали тему, на которую ссылаетесь, то в ней написано

Цитата

Нужное по правилам можно скачать с телефона и перенести на компьютер.

 

[Nickz1337]

Добрался до дома.
При открытии папки корневой папки Autologger вирус моментально ее закрывает.
Отправил папку в диск C
UPD: получилось пCollectionLog-2026.01.22-17.01.zipперехитрить

 

Сразу же сделал следующий пункт из той же темы:
AV_block_remove_2026.01.22-17.18.logCollectionLog-2026.01.22-17.26.zip

CollectionLog-2026.01.22-17.01.zip

 

Проверка Farbar recovery tool:

Addition.rar

Изменено 5 часов назад пользователем Nickz1337

[Sandor]

Дождитесь ответа коллеги. А у меня попутно вопрос: заражение началось после скачивания и запуска некоего активатора? Если помните точно и есть ссылка, по которой качали, отправьте её, пожалуйста мне личным сообщением.

[Nickz1337]

Добрый вечер! По ошибке нажал на фишинг ссылку при скачивании torrent файла, далее установил папку, по структуре setup.exe, и 6 файлов - образов.
По своей тупости открыл ехе.шник, так сложилось, что на этом ноутбуке(устройство не мое), все ехе.шники имеют битый шрифт, из за чего я до последнего думал, что качаю нужный мне файл(даже по размерам почти совпадал)
Ну и да, после установки появился "лишний" файл на рабочем столе, по "юности" сразу понял, что сделал фигню, ну и обнаружилось, что скачанный cureit! не работает
Такой вот идиотизм...
К сожалению, не могу вам отправить сообщение, видимо из-за того, что новый аккаунт. Но и ссылка уже потерлась, в истории браузера ее нет, а торрент я удалил, когда пытался самостоятельно решить проблему при обнаружении.
(если нужно могу отправить фото структуры папки с вирусным ехе.)

Изменено 4 часа назад пользователем Nickz1337

[Sandor]

16 минут назад, Nickz1337 сказал:

Но и ссылка уже потерлась

Ну ладно, не страшно. Фото не нужно.

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26-32 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\0109
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-399477873-1250573870-3794444708-1003\...\MountPoints2: {3356a0d4-e679-11f0-8ac4-8cc84bc747aa} - "D:\CdAutoRun.exe" 
HKU\S-1-5-21-399477873-1250573870-3794444708-1003\...\MountPoints2: {fcbeaade-a344-11ef-8a81-897a20f57c89} - "E:\autorun.exe" 
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-399477873-1250573870-3794444708-1003] => hxxp://127.0.0.1:10809
2026-01-22 01:26 - 2026-01-22 01:26 - 000000000 ___SH C:\ProgramData\tg.txt
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
C:\Users\leevereet\Desktop\Papotka\Игры по сети.lnk
C:\Users\leevereet\Desktop\Papotka\Торрент  Игруха.lnk
C:\Users\leevereet\AppData\Roaming\Microsoft\Word\Задание%202%20Слуквенко312099183326441407\Задание%202%20Слуквенко.docx.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\ВарТандер.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Майнкрафт.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Мир Танков.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Яндекс.Игры.lnk
FirewallRules: [{57CE1FD2-4675-431B-B0C9-1FDDEE87088C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{DD4B173A-6C70-456A-9787-77A7EFF66644}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{2C1CBDAD-7AD5-4AB6-8371-BE5D0631AC5D}C:\game\fallguys\fallguys_client_game.exe] => (Allow) C:\game\fallguys\fallguys_client_game.exe => Нет файла
FirewallRules: [UDP Query User{1067089D-DE7E-432C-92A6-8C7D1D23AD5D}C:\game\fallguys\fallguys_client_game.exe] => (Allow) C:\game\fallguys\fallguys_client_game.exe => Нет файла
FirewallRules: [{3967003A-71D0-4702-AAC0-7BDC3438D16F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fall Guys\FallGuysEACLauncher.exe => Нет файла
FirewallRules: [{E94EF538-0B42-4277-8227-031368E69F3B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fall Guys\FallGuysEACLauncher.exe => Нет файла
FirewallRules: [TCP Query User{8C4267E2-F408-4D9A-A7F3-D5F70725020D}C:\users\leevereet\appdata\local\temp\assistant\assistant.exe] => (Allow) C:\users\leevereet\appdata\local\temp\assistant\assistant.exe => Нет файла
FirewallRules: [UDP Query User{6B96B9D1-20CF-4C2B-924D-57A4FE526B7A}C:\users\leevereet\appdata\local\temp\assistant\assistant.exe] => (Allow) C:\users\leevereet\appdata\local\temp\assistant\assistant.exe => Нет файла
FirewallRules: [TCP Query User{0C30CD77-FAB4-4E53-8CF5-F23B3AC6A858}C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Block) C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{6EC3F213-E5A1-4235-ABC0-C3E88B56A167}C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Block) C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [{E0F95F4B-9FAB-43F8-96E5-FC95111219C9}] => (Allow) C:\Users\leevereet\AppData\Local\Programs\Opera\101.0.4843.43\opera.exe => Нет файла
FirewallRules: [{689DC425-86F6-43D9-9E3D-433DDF6A8B13}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{A307206C-148E-425E-B020-2EB7EF2176EA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{D41508DC-E39F-444D-905A-0B25BF67E884}C:\game\payday2\payday2_win32_release.exe] => (Allow) C:\game\payday2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{07081451-8514-4AF8-A2B3-0AA99D46FD85}C:\game\payday2\payday2_win32_release.exe] => (Allow) C:\game\payday2\payday2_win32_release.exe => Нет файла
FirewallRules: [{2D677907-A91B-42AC-A0C6-7A16BE0FB81E}] => (Allow) C:\Users\0109\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [TCP Query User{D02C782C-4994-4322-89BC-2102598797E6}C:\users\0109\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\0109\appdata\local\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [UDP Query User{6BAD8205-749D-49F4-A0AD-3970162930D8}C:\users\0109\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\0109\appdata\local\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [TCP Query User{EB9BB796-F64F-444F-BD7A-8FF942C7FDC6}C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe] => (Block) C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe => Нет файла
FirewallRules: [UDP Query User{C1D8C640-A51F-4114-9044-8825551B7CEE}C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe] => (Block) C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe => Нет файла
FirewallRules: [TCP Query User{E604B169-37AC-4BB2-9804-0F55DA2C6D43}C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe] => (Block) C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe => Нет файла
FirewallRules: [UDP Query User{A68AB85E-53EA-4958-A3CF-7AA5A3A8A825}C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe] => (Block) C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Nickz1337]

Сделал.Fixlog.txt

UPD: маленькое уточнение, cureit! все еще не работает, ноутбук "долбится в соточку", судя по звуку, так и должно быть?

Изменено 3 часа назад пользователем Nickz1337

[thyrex]

Активного майнера в логах нет уже после применения AVBR

[Nickz1337]

1 час назад, thyrex сказал:

Активного майнера в логах нет уже после применения AVBR

Видимо, просто сломал ехе. cureit!, качаю новый.
Сайт открывается, по окончанию проверки отпишусь)

 

Все чисто! Огромное спасибо за помощь!

Изменено 1 час назад пользователем Nickz1337

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.