Перейти к содержанию

Посмотрите пожалуйста логи, после лечения


xiaomi

Рекомендуемые сообщения

Спойлер

Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1162232
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.19041,  "Windows 10 Home", дата инсталляции 16.07.2020 08:04:32 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DA73->76D29F30
Функция kernel32.dll:ReadConsoleInputExW (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DAA6->76D29F60
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->763D8040->753C1310
Функция user32.dll:SetWindowsHookExW (2398) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DC8C0->753C1660
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B73C24->76D2C930
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B74B4B->76DFBDE0
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC14A->629C5AA0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC179->629C5E20
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 7
 Количество загруженных модулей: 198
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files (x86)\Filter Forge 3\Filter Forge Help.chm/{CHM}//images/243-small.jpg >>> подозрение на Trojan-GameThief.Win32.OnLineGames.bmtm ( 0FAF3E92 00000000 002BA3FA 00296CC1 16384)
Прямое чтение C:\Users\User\AppData\Local\Temp\batB360.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 228382, извлечено из архивов: 106612, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 15.11.2020 00:43:13
Сканирование длилось 00:25:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

 

Установил с рутрекера софтину и комп зажил своей жизнью

 

Прикладываю автологи

CollectionLog-2020.11.15-00.55.rar

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Перепаковывать логи не нужно.

 

13 часов назад, xiaomi сказал:

комп зажил своей жизнью

Распишите, пожалуйста, подробнее - что под этим подразумевается?

 

Отчёты AdwCleaner покажите.

Ссылка на комментарий
Поделиться на другие сайты

Спойлер

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-09-29.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-15-2020
# Duration: 00:00:30
# OS:       Windows 10 Home Single Language
# Scanned:  31837
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}


AdwCleaner[S00].txt - [2143 octets] - [13/01/2019 19:25:21]
AdwCleaner[C00].txt - [2181 octets] - [13/01/2019 19:27:18]
AdwCleaner[S01].txt - [1388 octets] - [16/02/2019 20:22:22]
AdwCleaner[S02].txt - [1449 octets] - [16/02/2019 20:24:55]
AdwCleaner[S03].txt - [5746 octets] - [12/08/2020 01:06:08]
AdwCleaner[C03].txt - [6389 octets] - [12/08/2020 01:08:55]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S04].txt ##########

 

 

Ссылка на комментарий
Поделиться на другие сайты

Логи, пожалуйста, прикрепляйте к сообщению, а не вставляйте в него.

20 часов назад, Sandor сказал:

Распишите, пожалуйста, подробнее - что под этим подразумевается?

Ждём.

Ссылка на комментарий
Поделиться на другие сайты

После тотальной проверки вроде все норм, а так - браузер перестал открываться, в поисковую строку вставился некий текст, которого даже в буфере не было, стали вылезать окна "textinputframework.dll" капец

 

установил это 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте ссылки на варезные ресурсы.
Ссылка на комментарий
Поделиться на другие сайты

13 часов назад, xiaomi сказал:

браузер перестал открываться

Какой браузер?

13 часов назад, xiaomi сказал:

в поисковую строку вставился некий текст

Опять же в каком браузере?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, Firefox 82.0.3 (64)

 

После сканирования заметил некие странные протоколы в логах "hxxt"

 

а также в файле хост то чего я руками не добавлял

 

Спойлер

2018-04-12 02:38 - 2020-10-09 16:39 - 000002330 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com
127.0.0.1 na1r.services.adobe.com
127.0.0.1 hlrcv.stage.adobe.com
127.0.0.1        wit-ams-cloudservice.cloudapp.net
127.0.0.1        licensemanager.graphisoft.com
127.0.0.1        licensemanager-test.graphisoft.com
127.0.0.1        bimx-api.graphisoft.com
127.0.0.1        licensemanager-subtest.graphisoft.com
127.0.0.1        graphisoftid-subtest.graphisoft.com
127.0.0.1        graphisoftid-test.graphisoft.com
127.0.0.1        graphisoftid.graphisoft.com
127.0.0.1        ruleservice-api-subscr-test.graphisoft.com
127.0.0.1        ruleservice-api-test.graphisoft.com
127.0.0.1        ruleservice-api.graphisoft.com
127.0.0.1        license-manager-api.azurewebsites.net
127.0.0.1        waws-prod-am2-069.vip.azurewebsites.windows.net
127.0.0.1        waws-prod-am2-069.cloudapp.net
127.0.0.1        e5486.g.akamaiedge.net
127.0.0.1        e8218.dscb1.akamaiedge.net
127.0.0.1        par10s22-in-f232.1e100.net
127.0.0.1        par10s28-in-f8.1e100.net
127.0.0.1        par10s34-in-f8.1e100.net
127.0.0.1        gs-com.cloudapp.net
127.0.0.1        usagelogger.graphisoft.com
127.0.0.1        poneytelecom.eu
127.0.0.1        swupdate.graphisoft.com
163.172.167.207 bt.t-ru.org

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {0A88E260-6733-48DF-BB9F-E56A4155B6CE} - \Reg Organizer -> No File <==== ATTENTION
    FF Homepage: C:\Portable App\Mozilla Firefox\profiles -> moz-extension://fd52d9d4-ac9b-4ba3-9215-4c6691372904/index.html
    FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
    FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: speeddial@blakkm9.de
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: newtabtools@darktrojan.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: michal.simonfy@gmail.com
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: yandex@search.mozilla.org
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {c7e8eb9e-a33a-4ad2-8fa8-89150d8c77f7}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {506e023c-7f2b-40a3-8066-bc5deb40aebe}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {02503e58-2fea-4dc4-893b-d35e36b92437}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {6f5f4891-9637-41f9-9ee5-3a0ac02cf254}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {60f82f00-9ad5-4de5-b31c-b16a47c51558}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: @contain-facebook
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: foxytab@eros.man
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: jid0-RvYT2rGWfM8q5yWxIxAHYAeo5Qg@jetpack
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {3c078156-979c-498b-8990-85f7987dd929}
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: bookmark-menu-container@robwu.nl
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: sessionboss@william.wong
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: uBlock0@raymondhill.net
    FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: touch-vpn@anchorfree.com
    AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [194]
    AlternateDataStreams: C:\Users\User\Downloads:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Compressed:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Documents:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Music:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Programs:Shareaza.GUID [16]
    AlternateDataStreams: C:\Users\User\Downloads\Video:Shareaza.GUID [16]
    Toolbar: HKU\S-1-5-21-3958813685-2167494742-4097437264-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
    Hosts:
    FirewallRules: [{68892E72-E82D-40F7-AF09-7FB986D11798}] => (Allow) LPort=135
    FirewallRules: [{0400CD4A-8BE4-4580-98CF-B7B174A75C37}] => (Allow) LPort=445
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ видны две версии Firefox

Цитата

 

Mozilla Firefox 69.0 (x64 ru)

Mozilla Firefox 82.0.3 (x64 ru)

 

А также предположу, что используете портативную версию.

Судя по логу, в браузере установлено просто огромное количество расширений. Все ли нужны?

Предлагаю через Панель управления - Удаление программ - удалить всё, что относится к Mozilla Firefox, а также содержимое папки C:\Portable App\Mozilla Firefox\

Затем установите актуальную версию, проверьте и сообщите результат.

Ссылка на комментарий
Поделиться на другие сайты

Сапасибо за участие, выполнил скрипт, только не стал трогать браузерные расширения, я понял на что ругается FRST - перенаправления и все такое, в плане открытия каких либо рекламных страниц все спокойно, остальное пофиксилось видимо, больше всего напрягли настройки фаервола и GroupPolicy, хотя что там в политиках изменено понимания нет

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, в завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • Шаманов_Артём
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • Fast_diesel
      От Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • GlibZabiv
      От GlibZabiv
      Здравствуйте, Касперский нашёл троян, который после лечения восстанавливается. Пытался бороться своими силами, ничего не вышло.
      CollectionLog-2024.10.20-18.37.zip
×
×
  • Создать...