[РЕШЕНО] Nout AVZ и Rootkit в Windows 10 после чистки от заражения

[Катам 0]

Добрый день.

 

Эта тема касается ноутбука. первые два компа в других темах.

Множество rootkit обнаруженных утилитой AVZ

 

Провел проверку, Kaspersky Virus Removal Tool 2015; - чисто

Cureit - чисто

Отчет AutoLogger.exe - прилагаю

 

 

CollectionLog-2020.08.20-22.09.zip

[mike 1 1 093]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Катам 0]

Отчеты

Addition.txt FRST.txt

[mike 1 1 093]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   
   virustotal: C:\Users\Kot\Desktop\DTS.WIN\DTS.exe
   
   HKU\S-1-5-21-737526216-1760971788-2168355532-1000\...\Policies\Explorer: [] 
   GroupPolicy: Restriction ? <==== ATTENTION
   FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
   CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
   Task: {1E99867B-1FE3-4B94-ABBE-15C0576495F1} - System32\Tasks\Pbrowserupd => C:\Users\Kot\AppData\Local\Pbrowserupd\Pbrowserupd.exe <==== ATTENTION
   Task: {4BC09F7A-1782-40D4-B215-411AD14B7D46} - \Microsoft\Windows\Setup\EOSNotify2 -> No File <==== ATTENTION
   Task: {CA1EA9B5-DF70-426E-B596-46429690F354} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
   Task: {F894623A-B90F-4787-8F7F-8814CE8CBA51} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\Windows\TEMP\DJ6520_1315-1.exe <==== ATTENTION
   ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
   WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
   WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
   WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[Катам 0]

Fixlog.txt

[mike 1 1 093]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[Катам 0]

SecurityCheck.txt

[mike 1 1 093]

По логам больше плохого не видно.

 

Обновите:

 

VLC media player v.3.0.5 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Silverlight v.5.1.50918.0
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118 Внимание! Скачать обновления
Intel® Driver Update Utility v.2.0.0.29 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.2.2031.4 Внимание! Скачать обновления
Skype, версия 8.63 v.8.63
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.1.0.1
iTunes v.12.9.3.3 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
 

На этом все. 

[Катам 0]

Спасибо

[mike 1 1 093]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".