[РЕШЕНО] Вирус Trojan:Win32/CryptInject!ml

[КириллМаркетинг]

Скачал программу , оказалась с вирусами. Defender  находил несколько. Прогонял avz , Dr.Web CureIt - ничего не нашли

но опять спустя сутки defender наешл вирус.

прикладываю логи

есть подозрения что вирусы остались.

Также прикладываю логи avz  самостоятельной проверки (сделанные недавно)avz_log-new.txt

Вот что сегодня по вирусам было https://prnt.sc/vr799q

спасибо заранее!

 

CollectionLog-2020.11.27-15.15.zip

[КириллМаркетинг]

вот еще файл проверки dr.web

cureitdrweb.zip

[Sandor]

Здравствуйте!

 

Плохого не видно. Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

 

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[КириллМаркетинг]

Добрый день. Спасибо. прикрепляю

SecurityCheck.txt

[Sandor]

Давайте ещё такие логи посмотрим:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[КириллМаркетинг]

Спасибо. прикладываю

Addition.txt FRST.txt

[КириллМаркетинг]

еще при открытии браузера появилась надпись как на скрине

 

еще при открытии браузера появилась надпись как на скрине

 

удалю браузер на всю случай

 

скачал браузер chrome. После установки зашел в настройках, а там опять по умолчанию  показывает заданные страницы:

 

https://find-it.pro/?utm_source=distr_m

https://find-it.pro/?utm_source=distr_m

 

все-таки что-то сидит в системе.

еще в папке подозрительная папка (дата совпадает с получением вируса): NetShield Kit тоже заскринил

 

 

[Sandor]

3 часа назад, КириллМаркетинг сказал:

при открытии браузера появилась надпись как на скрине

Можно разрешить для домашней сети.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {399dc98c-44c7-41ab-ae73-f63437e2de27} - no filepath
  Task: {68129854-c5de-4a10-8429-e0d76db92e6a} - no filepath
  Task: {81521340-72d9-47b7-ad6a-910e7411dfab} - no filepath
  Task: {870f57aa-7ff0-4228-b9cd-6ccf68b9ea96} - no filepath
  Task: {ef9d3d21-2ad4-48dd-98b8-3ecb893e5b75} - no filepath
  Task: {fb03d548-3e81-47d2-bb2e-b4afa3370ac5} - no filepath
  FF SearchPlugin: C:\Users\Asus-TUF\AppData\Roaming\Mozilla\Firefox\Profiles\s96d5v64.default\searchplugins\cdnsearch.xml [2020-11-25]
  FF Notifications: Mozilla\Firefox\Profiles\11zzx4gz.default-release -> hxxps://mail-notification.info
  CHR Notifications: Default -> hxxps://mail-notification.info
  CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  CHR DefaultSuggestURL: Default -> hxxps://www.google.ru/complete/search?client=chrome-omni&gs_ri=chrome-ext-ansg&q={searchTerms}
  C:\Users\Asus-TUF\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
  CHR HKU\S-1-5-21-841094905-3178094086-436324939-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  2020-11-25 18:30 - 2020-11-25 20:43 - 000000000 ____D C:\ProgramData\VКDJ
  2020-11-25 18:30 - 2020-11-25 20:43 - 000000000 ____D C:\Program Files (x86)\NetShield Kit
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[КириллМаркетинг]

спасибо. прикладываю

Fixlog.txt

[Sandor]

Что с проблемой?

[КириллМаркетинг]

12 минут назад, Sandor сказал:

Что с проблемой?

 

а как узнать есть или нет проблема? т.к. в лог файле я так понял были какие-то проблемы? https://prnt.sc/vti6q5  fixlog он решает проблемы или только находит?

[Sandor]

Смотрите ниже, во втором блоке напротив этих записей - успешно удалено.

[КириллМаркетинг]

о ,спасибо!! а можно как-то еще раз проверку сделать чтобы уже наверняка?

 

и еще вопрос. тот вирус похищал пароли или как? т.е. нужно ли менять пароли после этого к почте, банк клиенту и т.д.

[Sandor]

13 минут назад, КириллМаркетинг сказал:

можно как-то еще раз проверку сделать чтобы уже наверняка?

Соберите Автологером свежий CollectionLog.

 

11 минут назад, КириллМаркетинг сказал:

тот вирус похищал пароли или как?

По названию вредоноса - не похоже, что похищал. Но сменить лишний раз важные пароли не помешает.

[КириллМаркетинг]

спасибо. приложил

CollectionLog-2020.12.01-14.51.zip