Посмотрите пожалуйста логи, после лечения

[xiaomi 0]

Спойлер

Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1162232
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
Версия Windows: 10.0.19041,  "Windows 10 Home", дата инсталляции 16.07.2020 08:04:32 ; AVZ работает с правами администратора (+)
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DA73->76D29F30
Функция kernel32.dll:ReadConsoleInputExW (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75C2DAA6->76D29F60
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
Функция ntdll.dll:ZwCreateFile (1837) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1600->753C1420
Функция ntdll.dll:ZwSetInformationFile (2138) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F1320->753C1580
Функция ntdll.dll:ZwSetValueKey (2170) перехвачена, метод ProcAddressHijack.GetProcAddress ->775F16B0->753C15F0
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->763D8040->753C1310
Функция user32.dll:SetWindowsHookExW (2398) перехвачена, метод ProcAddressHijack.GetProcAddress ->763DC8C0->753C1660
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B73C24->76D2C930
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->75B74B4B->76DFBDE0
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC14A->629C5AA0
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->752FC179->629C5E20
1.4 Поиск маскировки процессов и драйверов
 Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
 Количество найденных процессов: 7
 Количество загруженных модулей: 198
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files (x86)\Filter Forge 3\Filter Forge Help.chm/{CHM}//images/243-small.jpg >>> подозрение на Trojan-GameThief.Win32.OnLineGames.bmtm ( 0FAF3E92 00000000 002BA3FA 00296CC1 16384)
Прямое чтение C:\Users\User\AppData\Local\Temp\batB360.tmp
4. Проверка Winsock Layered Service Provider (SPI/LSP)
 Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
 Проверка отключена пользователем
7. Эвристичеcкая проверка системы
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 228382, извлечено из архивов: 106612, найдено вредоносных программ 0, подозрений - 1
Сканирование завершено в 15.11.2020 00:43:13
Сканирование длилось 00:25:17
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ
можно использовать сервис http://virusdetector.ru/

 

Установил с рутрекера софтину и комп зажил своей жизнью

 

Прикладываю автологи

CollectionLog-2020.11.15-00.55.rar

[Sandor 1 253]

Здравствуйте!

 

Перепаковывать логи не нужно.

 

13 часов назад, xiaomi сказал:

комп зажил своей жизнью

Распишите, пожалуйста, подробнее - что под этим подразумевается?

 

Отчёты AdwCleaner покажите.

[xiaomi 0]

Спойлер

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-09-29.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-15-2020
# Duration: 00:00:30
# OS:       Windows 10 Home Single Language
# Scanned:  31837
# Detected: 3

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}

AdwCleaner[S00].txt - [2143 octets] - [13/01/2019 19:25:21]
AdwCleaner[C00].txt - [2181 octets] - [13/01/2019 19:27:18]
AdwCleaner[S01].txt - [1388 octets] - [16/02/2019 20:22:22]
AdwCleaner[S02].txt - [1449 octets] - [16/02/2019 20:24:55]
AdwCleaner[S03].txt - [5746 octets] - [12/08/2020 01:06:08]
AdwCleaner[C03].txt - [6389 octets] - [12/08/2020 01:08:55]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S04].txt ##########

 

 

[Sandor 1 253]

Логи, пожалуйста, прикрепляйте к сообщению, а не вставляйте в него.

20 часов назад, Sandor сказал:

Распишите, пожалуйста, подробнее - что под этим подразумевается?

Ждём.

[xiaomi 0]

После тотальной проверки вроде все норм, а так - браузер перестал открываться, в поисковую строку вставился некий текст, которого даже в буфере не было, стали вылезать окна "textinputframework.dll" капец

 

установил это 

Строгое предупреждение от модератора Mark D. Pearlstone

Не публикуйте ссылки на варезные ресурсы.

[Sandor 1 253]

13 часов назад, xiaomi сказал:

браузер перестал открываться

Какой браузер?

13 часов назад, xiaomi сказал:

в поисковую строку вставился некий текст

Опять же в каком браузере?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[xiaomi 0]

Прошу прощения, Firefox 82.0.3 (64)

 

После сканирования заметил некие странные протоколы в логах "hxxt"

 

а также в файле хост то чего я руками не добавлял

 

Спойлер

2018-04-12 02:38 - 2020-10-09 16:39 - 000002330 _____ C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 activate.adobe.com
127.0.0.1 practivate.adobe.com
127.0.0.1 lmlicenses.wip4.adobe.com
127.0.0.1 lm.licenses.adobe.com
127.0.0.1 na1r.services.adobe.com
127.0.0.1 hlrcv.stage.adobe.com
127.0.0.1        wit-ams-cloudservice.cloudapp.net
127.0.0.1        licensemanager.graphisoft.com
127.0.0.1        licensemanager-test.graphisoft.com
127.0.0.1        bimx-api.graphisoft.com
127.0.0.1        licensemanager-subtest.graphisoft.com
127.0.0.1        graphisoftid-subtest.graphisoft.com
127.0.0.1        graphisoftid-test.graphisoft.com
127.0.0.1        graphisoftid.graphisoft.com
127.0.0.1        ruleservice-api-subscr-test.graphisoft.com
127.0.0.1        ruleservice-api-test.graphisoft.com
127.0.0.1        ruleservice-api.graphisoft.com
127.0.0.1        license-manager-api.azurewebsites.net
127.0.0.1        waws-prod-am2-069.vip.azurewebsites.windows.net
127.0.0.1        waws-prod-am2-069.cloudapp.net
127.0.0.1        e5486.g.akamaiedge.net
127.0.0.1        e8218.dscb1.akamaiedge.net
127.0.0.1        par10s22-in-f232.1e100.net
127.0.0.1        par10s28-in-f8.1e100.net
127.0.0.1        par10s34-in-f8.1e100.net
127.0.0.1        gs-com.cloudapp.net
127.0.0.1        usagelogger.graphisoft.com
127.0.0.1        poneytelecom.eu
127.0.0.1        swupdate.graphisoft.com
163.172.167.207 bt.t-ru.org

 

Addition.txt FRST.txt

[Sandor 1 253]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {0A88E260-6733-48DF-BB9F-E56A4155B6CE} - \Reg Organizer -> No File <==== ATTENTION
  FF Homepage: C:\Portable App\Mozilla Firefox\profiles -> moz-extension://fd52d9d4-ac9b-4ba3-9215-4c6691372904/index.html
  FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
  FF HomepageOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: swiftdial@nscript.ru
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: speeddial@blakkm9.de
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: yet_another_speed_dial@conceptualspace.net
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: newtabtools@darktrojan.net
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: michal.simonfy@gmail.com
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: yandex@search.mozilla.org
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {c7e8eb9e-a33a-4ad2-8fa8-89150d8c77f7}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {506e023c-7f2b-40a3-8066-bc5deb40aebe}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {02503e58-2fea-4dc4-893b-d35e36b92437}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: {6f5f4891-9637-41f9-9ee5-3a0ac02cf254}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {60f82f00-9ad5-4de5-b31c-b16a47c51558}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: @contain-facebook
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: foxytab@eros.man
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: jid0-RvYT2rGWfM8q5yWxIxAHYAeo5Qg@jetpack
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Enabled: {3c078156-979c-498b-8990-85f7987dd929}
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: bookmark-menu-container@robwu.nl
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: sessionboss@william.wong
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: uBlock0@raymondhill.net
  FF NewTabOverride: C:\Portable App\Mozilla Firefox\profiles -> Disabled: touch-vpn@anchorfree.com
  AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [194]
  AlternateDataStreams: C:\Users\User\Downloads:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\User\Downloads\Compressed:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\User\Downloads\Documents:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\User\Downloads\Music:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\User\Downloads\Programs:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\User\Downloads\Video:Shareaza.GUID [16]
  Toolbar: HKU\S-1-5-21-3958813685-2167494742-4097437264-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
  Hosts:
  FirewallRules: [{68892E72-E82D-40F7-AF09-7FB986D11798}] => (Allow) LPort=135
  FirewallRules: [{0400CD4A-8BE4-4580-98CF-B7B174A75C37}] => (Allow) LPort=445
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ видны две версии Firefox

Цитата

 

Mozilla Firefox 69.0 (x64 ru)

Mozilla Firefox 82.0.3 (x64 ru)

 

А также предположу, что используете портативную версию.

Судя по логу, в браузере установлено просто огромное количество расширений. Все ли нужны?

Предлагаю через Панель управления - Удаление программ - удалить всё, что относится к Mozilla Firefox, а также содержимое папки C:\Portable App\Mozilla Firefox\

Затем установите актуальную версию, проверьте и сообщите результат.

[xiaomi 0]

Сапасибо за участие, выполнил скрипт, только не стал трогать браузерные расширения, я понял на что ругается FRST - перенаправления и все такое, в плане открытия каких либо рекламных страниц все спокойно, остальное пофиксилось видимо, больше всего напрягли настройки фаервола и GroupPolicy, хотя что там в политиках изменено понимания нет

Fixlog.txt

[Sandor 1 253]

Хорошо, в завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.