Перейти к содержанию

Посмотрите пожалуйста логи, после лечения


Рекомендуемые сообщения

Спойлер

Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1162232
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.19041,  "Windows 10 Home", дата инсталляции 16.07.2020 08:04:32 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DA73->76D29F30
Функция kernel32.dll:ReadConsoleInputExW (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DAA6->76D29F60
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->763D8040->753C1310
Функция user32.dll:SetWindowsHookExW (2398) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DC8C0->753C1660
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B73C24->76D2C930
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B74B4B->76DFBDE0
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC14A->629C5AA0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC179->629C5E20
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 7
 Количество загруженных модулей: 198
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files (x86)\Filter Forge 3\Filter Forge Help.chm/{CHM}//images/243-small.jpg >>> подозрение на Trojan-GameThief.Win32.OnLineGames.bmtm ( 0FAF3E92 00000000 002BA3FA 00296CC1 16384)
Прямое чтение C:\Users\User\AppData\Local\Temp\batB360.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 228382, извлечено из архивов: 106612, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 15.11.2020 00:43:13
Сканирование длилось 00:25:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

 

Установил с рутрекера софтину и комп зажил своей жизнью

 

Прикладываю автологи

CollectionLog-2020.11.15-00.55.rar

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Перепаковывать логи не нужно.

 

13 часов назад, xiaomi сказал:

комп зажил своей жизнью

Распишите, пожалуйста, подробнее - что под этим подразумевается?

 

Отчёты AdwCleaner покажите.

Ссылка на сообщение
Поделиться на другие сайты
Спойлер

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-09-29.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-15-2020
# Duration: 00:00:30
# OS:       Windows 10 Home Single Language
# Scanned:  31837
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}


AdwCleaner[S00].txt - [2143 octets] - [13/01/2019 19:25:21]
AdwCleaner[C00].txt - [2181 octets] - [13/01/2019 19:27:18]
AdwCleaner[S01].txt - [1388 octets] - [16/02/2019 20:22:22]
AdwCleaner[S02].txt - [1449 octets] - [16/02/2019 20:24:55]
AdwCleaner[S03].txt - [5746 octets] - [12/08/2020 01:06:08]
AdwCleaner[C03].txt - [6389 octets] - [12/08/2020 01:08:55]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S04].txt ##########

 

 

Ссылка на сообщение
Поделиться на другие сайты

Логи, пожалуйста, прикрепляйте к сообщению, а не вставляйте в него.

20 часов назад, Sandor сказал:

Распишите, пожалуйста, подробнее - что под этим подразумевается?

Ждём.

Ссылка на сообщение
Поделиться на другие сайты

После тотальной проверки вроде все норм, а так - браузер перестал открываться, в поисковую строку вставился некий текст, которого даже в буфере не было, стали вылезать окна "textinputframework.dll" капец

 

установил это 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте ссылки на варезные ресурсы.
Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, xiaomi сказал:

браузер перестал открываться

Какой браузер?

13 часов назад, xiaomi сказал:

в поисковую строку вставился некий текст

Опять же в каком браузере?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения, Firefox 82.0.3 (64)

 

После сканирования заметил некие странные протоколы в логах "hxxt"

 

а также в файле хост то чего я руками не добавлял

 

Спойлер

2018-04-12 02:38 - 2020-10-09 16:39 - 000002330 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com
127.0.0.1 na1r.services.adobe.com
127.0.0.1 hlrcv.stage.adobe.com
127.0.0.1        wit-ams-cloudservice.cloudapp.net
127.0.0.1        licensemanager.graphisoft.com
127.0.0.1        licensemanager-test.graphisoft.com
127.0.0.1        bimx-api.graphisoft.com
127.0.0.1        licensemanager-subtest.graphisoft.com
127.0.0.1        graphisoftid-subtest.graphisoft.com
127.0.0.1        graphisoftid-test.graphisoft.com
127.0.0.1        graphisoftid.graphisoft.com
127.0.0.1        ruleservice-api-subscr-test.graphisoft.com
127.0.0.1        ruleservice-api-test.graphisoft.com
127.0.0.1        ruleservice-api.graphisoft.com
127.0.0.1        license-manager-api.azurewebsites.net
127.0.0.1        waws-prod-am2-069.vip.azurewebsites.windows.net
127.0.0.1        waws-prod-am2-069.cloudapp.net
127.0.0.1        e5486.g.akamaiedge.net
127.0.0.1        e8218.dscb1.akamaiedge.net
127.0.0.1        par10s22-in-f232.1e100.net
127.0.0.1        par10s28-in-f8.1e100.net
127.0.0.1        par10s34-in-f8.1e100.net
127.0.0.1        gs-com.cloudapp.net
127.0.0.1        usagelogger.graphisoft.com
127.0.0.1        poneytelecom.eu
127.0.0.1        swupdate.graphisoft.com
163.172.167.207 bt.t-ru.org

 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0A88E260-6733-48DF-BB9F-E56A4155B6CE} - \Reg Organizer -> No File <==== ATTENTION
    FF Homepage: C:\Portable App\Mozilla Firefox\profiles -> moz-extension://fd52d9d4-ac9b-4ba3-9215-4c6691372904/index.html
    FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
    FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: speeddial@blakkm9.de
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: newtabtools@darktrojan.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: michal.simonfy@gmail.com
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: yandex@search.mozilla.org
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {c7e8eb9e-a33a-4ad2-8fa8-89150d8c77f7}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {506e023c-7f2b-40a3-8066-bc5deb40aebe}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {02503e58-2fea-4dc4-893b-d35e36b92437}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {6f5f4891-9637-41f9-9ee5-3a0ac02cf254}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {60f82f00-9ad5-4de5-b31c-b16a47c51558}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: @contain-facebook
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: foxytab@eros.man
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: jid0-RvYT2rGWfM8q5yWxIxAHYAeo5Qg@jetpack
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {3c078156-979c-498b-8990-85f7987dd929}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: bookmark-menu-container@robwu.nl
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: sessionboss@william.wong
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: uBlock0@raymondhill.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: touch-vpn@anchorfree.com
    AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [194]
    AlternateDataStreams: C:\Users\User\Downloads:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Compressed:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Documents:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Music:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Programs:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Video:Shareaza.GUID [16]
    Toolbar: HKU\S-1-5-21-3958813685-2167494742-4097437264-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    Hosts:
    FirewallRules: [{68892E72-E82D-40F7-AF09-7FB986D11798}] => (Allow) LPort=135
    FirewallRules: [{0400CD4A-8BE4-4580-98CF-B7B174A75C37}] => (Allow) LPort=445
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ видны две версии Firefox

Цитата

 

Mozilla Firefox 69.0 (x64 ru)

Mozilla Firefox 82.0.3 (x64 ru)

 

А также предположу, что используете портативную версию.

Судя по логу, в браузере установлено просто огромное количество расширений. Все ли нужны?

Предлагаю через Панель управления - Удаление программ - удалить всё, что относится к Mozilla Firefox, а также содержимое папки C:\Portable App\Mozilla Firefox\

Затем установите актуальную версию, проверьте и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Сапасибо за участие, выполнил скрипт, только не стал трогать браузерные расширения, я понял на что ругается FRST - перенаправления и все такое, в плане открытия каких либо рекламных страниц все спокойно, остальное пофиксилось видимо, больше всего напрягли настройки фаервола и GroupPolicy, хотя что там в политиках изменено понимания нет

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, в завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Albert_1777
      Обнаружил на компе Trojan:Win32/Wacatac, удаляет всё что связано с Kasper*** и т.д., с помощью загрузочной флешки от касперского пытался его удалить но безуспешно. Проблема в том, что он скрыл папку Kaspersky в которой находится образ виртуальной машины. Помогите пожалуйста. Прилагаю лог сканирования Farbar Recovery Scan Tool
      FRST.rar
    • От оlег
      Недавно просканировал систему утилитой AVZ. Она выдала ряд предупреждений, которые мне непонятны. Прошу вашей помощи в разборе логов. А именно беспокоят некие "перехваты" в системных файлах и троян (в спойлере фрагменты выделены цветом) 

      Также прилагаю логи Автологгера.
       
       
      CollectionLog-2020.11.23-14.12.zip
    • От nonamenonumber
      Добрый день!
      Подскажите, в чем может быть ошибка, как ее устранить ?
      При проверке AVZ на Windows 10 x64 со всеми чекбоксами - выдает ошибку на первых минутах проверки и закрывает AVZ.
      Ранее бывало такое же поведение, почитал информацию. Пишут, что на Windows 10 x64 такое вполне нормально при всех установленных чекбоксах, успокоился на тот момент.
      Несколько месяцев назад переустанавливал Windows, решил проверить гипотезу - и был удивлен, со всеми чекбоксами проверка была проведена успешно.
      Примерно неделю назад проверял в очередной раз компьютер, были найдены вирусы прилетевшие судя по всему с пакетами npm, удалил их с эвристической чисткой системы.
      Сегодня запустил AVZ - и столкнулся с тем же поведением, как и до переустановки Windows, AVZ выдает ошибку и закрывается.
      TDSSKiller ничего не находит.
      В соответствии с таким поведением - у меня есть две версии: первая, это какие-то очередные обновления безопасности Windows, после которых перестает корректно работать AVZ, вторая - что всеже что-то не так с компьютером, иначе как такое может быть ?
      Подскажите, как в данном случае почистить систему ?
      Прилагаю ссылку на скриншот:
      https://ibb.co/w7zRmZw
    • От Ytkaaa
      Здравствуйте, возник вопрос: как понять что на компьютере Вредоносное ПО типа RAT или троян, и как от этого защититься?
       
      И можно ли сделать сканирование security cloud/KVRT/malwarebytes и быть спокойным на это счет?
    • От Petr_M
      Привет! Ребята, помогите разобраться, please! Я использую Kaspersky Internet Security на одном компьютере, на другом у меня - Kaspersky Security Cloud. Сканеру, который есть в этих пакетах, я доверяю на 99 процентов, по крайней мере лучше не знаю. Но хотелось бы иметь еще один какой-нибудь сканер (который не требует инсталляции), на всякий случай. Можно ли доверять AVZ, если он давно не выпускает новые версии? "Курейтом" не пользуюсь, потому что он сильно загружает комп и засоряет его логами, которые потом невозможно удалить... Я помню, здесь, на форуме, кто-то называл еще сканеры, но вот вспомнить не могу. Заранее спасибо!
×
×
  • Создать...