Winmon.sys, winmonfs.sys и другие заразили мой ноутбук

[Nowham]

Здраствуйте, у меня возникла проблема, а именно , мой ноутбук заразился вирусами. Среди них я заметил Winmon, winmonsf, win , cloudnet, shcheduleupgrated и какой-то биткоинмайнер. Эти все вирусы были у меня еще приблизительно недели 2 назад
и заметил я их после того как сильно что-то кушало мою оперативную память. После некоторых действий они перестали появляться, и антивирус их не находил. Я бы назвал это спячкой. Но сегодня меня они снова побеспокоили. Начался день с BSOD с кодом 50. Также при перезагрузке виндовса появилось сообщение про отсуствие електроной подписи драйверов Winmon.sys , Winmonfs.sys и WinProcesScreen(???) . Я запустил Dr.web CureIt и запустил проверку. Все вирусы не удалило. Дальше я провел несколько похожих действий, но не думаю что про это нужно говорить.
 
Прикрепляю логи:

CollectionLog-2020.03.31-20.46.zip

[SQ]

Здравствуйте,

Удалите остатки от антивируса Avast утилитой Avast Remover.


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

var j:integer; NumStr:string;
begin
for j:=0 to 999 do
 begin
    if j=0 then
        NumStr:='CurrentControlSet' else
        if j<10 then
            NumStr:='ControlSet00'+IntToStr(j) else
            if j<100 then
                NumStr:='ControlSet0'+IntToStr(j) else
                NumStr:='ControlSet'+IntToStr(j);
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
  end;
 if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
  begin
  RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
  RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
  AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
  end;
 end;
SaveLog(GetAVZDirectory + 'fystemRoot.log');
end.

После выполнения скрипта компьютер перезагрузится.

Приложите пожалуйста новые логи согласно правилам.

[Nowham]

Все сделал , как и сказали. Только после выполнения скрипта компьютер не перезагрузился, но я сделал это сам

Логи:

CollectionLog-2020.04.01-00.01.zip

 

[SQ]

Могли бы пожалуйста перегрузить ПК и после этого показать результат следующей команды в командной строке (cmd.exe)

reg query "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv"

[Nowham]

[SQ]

Службу Windows Update сами удаляли?

[Nowham]

Скорее всего не я, а может и я , не помню вообще

У меня не активирована пиратка виндовса, если это имеет значение

[SQ]

Вопрос, если вы хотите восстановить данную службу по могу предложить следующее решение.

Важно: Но как это повлияет на работу не лицензионно ОС не могу знать. Если Вам не нужно это, пожалуйста проигнорируйте исправление AVZ и предоставьте логи FRST, т.е. переходите сразу к пункту 2.



1) AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
 DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;  
 ImagePathStr, RootStr, SubRootStr, LangID: string;
 AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
 FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
 RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;

procedure CheckAndRestoreSection(Root: String);
begin
 Inc(AllRoots);
 if RegKeyExistsEx('HKLM', Root) then
   RegKeyResetSecurity('HKLM', Root)
 else
  begin
    Inc(RootsRestored);
    RegKeyCreate('HKLM', Root);
    AddToLog(RegSectMsg + Root + RestMsg);
   end;
end;

procedure CheckAndRestoreSubSection;
begin
  CheckAndRestoreSection(SubRootStr);
end;

procedure RestoredMsg(Root, Param: String);
begin
  AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
  Inc(KeysRestored);
end;

procedure FixedMsg(Root, Param: String);
begin
  AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
  Inc(KeysFixed);
end;

procedure RestoreStrParam(Root, Param, Value: String);
begin
  RegKeyStrParamWrite('HKLM', Root, Param, Value);
  RestoredMsg(Root, Param);
end;

procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
  Inc(AllKeys);
  if not RegKeyParamExists('HKLM', Root, Param) then
    RestoreStrParam(Root, Param, Value);
end;

procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', Root, Param) then
  begin
    RegKeyIntParamWrite('HKLM', Root, Param, Value);
    RestoredMsg(Root, Param);
  end;
end;

procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, Param) then
  begin
    ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
    RestoredMsg(RootStr, Param);
  end;
end;

// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
 RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
 if RegKeyExistsEx('HKLM', RegStr) then
  begin
    Inc(AllKeys);
    RegKeyResetSecurity('HKLM', RegStr);
    RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
    FixedMsg(RegStr, 'ImagePath');
  end;
end;

{ Выполнение исправление всех ключей в ветках -
   'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
     i : integer;
begin
 if Srv = 'BITS' then
   FileServiceDll := FullPathSystem32 + 'qmgr.dll'
 else
   FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
 RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;

 CheckAndRestoreSection(RootStr);

 CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
 CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
 CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
   RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
 else
  begin
    Dec(AllKeys);
    if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
      for i:= 0 to 999 do
       begin
         if i > 0 then
           CCSNumber := FormatFloat('ControlSet000', i)
         else
           CCSNumber := 'CurrentControlSet';
         ImagePathFix(CCSNumber, Srv);
      end;
   end;

 CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
 CheckAndRestoreIntParam(RootStr, 'Start', 2);
 CheckAndRestoreIntParam(RootStr, 'Type', 32);

 if Srv = 'BITS' then
  begin
    CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
    CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
  end;

 SubRootStr:= RootStr + '\Enum';
 CheckAndRestoreSubSection;

 CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
 CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
 CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);

 SubRootStr := RootStr + '\Security';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
  begin
    RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
    RestoredMsg(SubRootStr, 'Security');
  end;

 SubRootStr:= RootStr + '\Parameters';
 CheckAndRestoreSubSection;

 Inc(AllKeys);
 if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    RestoredMsg(SubRootStr, 'ServiceDll');
  end
 else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
  begin
    RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
    FixedMsg(SubRootStr, 'ServiceDll');
  end
end;

{ Главное выполнение }
begin
 ClearLog;
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
 LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
 if LangID = '0419' then
  begin
    DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
    DispayNameTextWuauServ := 'Автоматическое обновление';
    DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
    DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
    AddToLog('Операционная система - русская');
    FinishMsg := '–––– Восстановление завершено ––––';
    RestoreMsg := 'Восстановлено разделов\параметров: ';
    FixMsg := 'Исправлено параметров: ';
    CheckMsg := 'Проверено разделов\параметров: ';
    RegSectMsg := 'Раздел реестра HKLM\';
    ParamMsg := 'Параметр ';
    ParamValueMsg := 'Значение параметра ';
    InRegSectMsg := ' в разделе реестра HKLM\';
    CorrectMsg := ' исправлено на оригинальное.';
    RestMsg := 'восстановлен.';
  end
 else if LangID = '0409' then
  begin
    DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
    DispayNameTextWuauServ := 'Automatic Updates';
    DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
    DispayNameTextBITS := 'Background Intelligent Transfer Service';
    AddToLog('Operation system - english');
    FinishMsg := '–––– Restoration finished ––––';
    RestoreMsg := 'Sections\parameters restored: ';
    FixMsg := 'Parameters corrected: ';
    CheckMsg := 'Sections\parameters checked: ';
    RegSectMsg := 'Registry section HKLM\';
    ParamMsg := 'Parameter ';
    ParamValueMsg := 'Value of parameter ';
    InRegSectMsg := ' in registry section HKLM\';
    CorrectMsg := ' corrected on original.';
    RestMsg := ' restored.';
  end;
 AddToLog('');

{ Определение папки X:\Windows\System32\ }
 NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
 ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
 Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
 FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
 
 AllRoots := 0;
 AllKeys := 0;
 RootsRestored := 0;
 KeysRestored := 0;
 KeysFixed := 0;

 CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
 CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');

 AddToLog('');
 AddToLog(FinishMsg);
 AddToLog('');
 AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
 AddToLog(FixMsg + IntToStr(KeysFixed));
 AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
 SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту.


2)
- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[Nowham]

Все, готово

Логи: FRST.txtAddition.txt

[SQ]

Сами устанавливали следующее расширение?

CHR Extension: (Social Blade) - C:\Users\asus.asus-ПК\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cfidkbgamfhdgmedldkagjopnbobdmdn [2020-03-24] [UpdateUrl:hxxps://addon.socialblade.com/updates.json] <==== ATTENTION

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  Task: {E03D6DF7-0B85-4C13-B4E9-A898DC4D4263} - \ScheduledUpdate -> No File <==== ATTENTION
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  Folder: C:\Windows\rss
  ContextMenuHandlers1_.DEFAULT: [          qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} =>  -> No File
  ContextMenuHandlers4_.DEFAULT: [          qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} =>  -> No File
  ContextMenuHandlers5_.DEFAULT: [          qingshellext] -> {67F4D210-BFC2-4ADD-9A2A-C9B9E1F42C4F} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [154]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.
  

[Nowham]

Да, расширение сам устанавливал.

Логи:

Fixlog.txt

И еще, я заметил что у меня слетел кряк bandicam`а , можно ли крякнуть снова? Это не приведет к каким-то проблемам ?

Закинул программу для кряка в вирустотал, обнаружило 52(вируса, не вируса, не знаю как это называется) . Хотя проблемы с вирусами у меня появились еще до установки кряка

[SQ]

И еще, я заметил что у меня слетел кряк bandicam`а , можно ли крякнуть снова? Это не приведет к каким-то проблемам ?

Этим помочь не смогу. Все возможно.

 

Обратите внимание пожалуйста, что на форуме запрещено обсуждение подобных тем (пункт 12).

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Nowham]

Хорошо, больше таких обсуждений не будет.

Архив: ASUS-ПК_2020-04-01_16-42-53_v4.1.8.7z

[SQ]

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\CLOUDNET.EXE
zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\WUP\XARCH\WUP.EXE
dirzoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS
zoo %SystemRoot%\WINDEFENDER.EXE
zoo %SystemRoot%\RSS\CSRSS.EXE
zoo %Sys32%\DRIVERS\WINMON.SYS
zoo %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
zoo %Sys32%\DRIVERS\WINMONFS.SYS
zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\WUP\XARCH\WUP.EXE
delall %SystemRoot%\WINDEFENDER.EXE
delall %SystemRoot%\RSS\CSRSS.EXE
delall %SystemDrive%\USERS\ASUS\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
delall %Sys32%\DRIVERS\WINMON.SYS
delall %Sys32%\DRIVERS\WINMONFS.SYS
delall %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
restart

Заархивируйте в zoo.zip папку ZOO и загрузите этот архив через данную форму
 

[Nowham]

Все сделал, как и просили, и загрузил)