Установил вирус adnekmod8b4.dll

[EnderManch990]

Здравствуйте. Сегодня установил антивирус, просканировал ПК и вылезло сообщение о подозрительном файле. Нажал кнопку "удалить", перезагрузил компьютер и понеслись ошибки с отсутствием файла adnekmod8b4.dll.

Смотрел в планировщике заданий - ничего такого, в автозагрузке - тоже ничего. Как смог поймать вирусню, не знаю.

CollectionLog-2021.01.06-14.06.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2596967276-2406880906-839896642-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-3730995852-2168948204-2351427815-500 - C:\Users\user\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\WINDOWS\system32\systray.exe

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[EnderManch990]

CollectionLog-2021.01.06-15.47.zip

Новый лог.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[EnderManch990]

FRST_06-01-2021 16.09.28.zip

[EnderManch990]

Что мне нужно делать дальше? Это окошко с ошибкой до сих пор появляется примерно каждые 40 секунд.

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
FirewallRules: [{C9B4867C-ED9B-4E76-8BBF-A72AD5B09B37}] => (Allow) C:\Users\user\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [TCP Query User{308581B4-2D3D-44EB-BD2D-55ED83F93BE4}C:\users\user\appdata\local\programs\opera\68.0.3618.104\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\68.0.3618.104\opera.exe => No File
FirewallRules: [UDP Query User{DD8D9348-3E7A-426C-B735-4E4B55ECEBAC}C:\users\user\appdata\local\programs\opera\68.0.3618.104\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\68.0.3618.104\opera.exe => No File
FirewallRules: [TCP Query User{C2437AFF-972A-4977-89E3-13757AA4784A}C:\users\user\appdata\local\programs\opera\68.0.3618.125\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\68.0.3618.125\opera.exe => No File
FirewallRules: [UDP Query User{6AC8B25C-59A1-424C-996F-392C7C397F67}C:\users\user\appdata\local\programs\opera\68.0.3618.125\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\68.0.3618.125\opera.exe => No File
FirewallRules: [{FDF8250A-27EA-4C2F-8BAC-EB495F656F47}] => (Allow) C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{FF40663B-3F64-444F-9A86-A76BFDA0A735}] => (Allow) C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [TCP Query User{59A4AE8B-7DF3-472F-A74E-7107E778B697}C:\users\user\appdata\local\programs\opera\69.0.3686.77\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\69.0.3686.77\opera.exe => No File
FirewallRules: [UDP Query User{1886C170-4B06-4B1B-9A7A-62567DD7373E}C:\users\user\appdata\local\programs\opera\69.0.3686.77\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\69.0.3686.77\opera.exe => No File
FirewallRules: [TCP Query User{ACD6A47A-58B4-49E6-9DFD-31BD5FF32979}C:\users\user\appdata\local\programs\opera\69.0.3686.95\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\69.0.3686.95\opera.exe => No File
FirewallRules: [UDP Query User{5ACF3B5A-1F2E-45BD-A96E-700649E85F07}C:\users\user\appdata\local\programs\opera\69.0.3686.95\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\69.0.3686.95\opera.exe => No File
FirewallRules: [TCP Query User{5D758248-A21B-47D6-BFDE-068FF477FA29}C:\users\user\appdata\local\programs\opera\70.0.3728.106\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\70.0.3728.106\opera.exe => No File
FirewallRules: [UDP Query User{70860553-CC47-4F89-9D62-56C91E071809}C:\users\user\appdata\local\programs\opera\70.0.3728.106\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\70.0.3728.106\opera.exe => No File
FirewallRules: [{1BF053B9-63D5-4691-9526-FDB0554B43DA}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{AE0BBBFC-5D86-4253-BD80-AC89BCA59F16}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{9F3482A0-DCB6-4C23-9A58-943D30250D05}C:\xiaomi\xiaomitool2\bin\javaw.exe] => (Allow) C:\xiaomi\xiaomitool2\bin\javaw.exe => No File
FirewallRules: [UDP Query User{2B869FEF-D1CB-439C-AF97-CA2973EADD53}C:\xiaomi\xiaomitool2\bin\javaw.exe] => (Allow) C:\xiaomi\xiaomitool2\bin\javaw.exe => No File
FirewallRules: [TCP Query User{C51667C0-6F5F-4D53-BD17-AE63A837B202}C:\users\user\appdata\local\programs\opera\70.0.3728.154\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\70.0.3728.154\opera.exe => No File
FirewallRules: [UDP Query User{82C69EE2-1BDA-47C8-AF97-A734C571A382}C:\users\user\appdata\local\programs\opera\70.0.3728.154\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera\70.0.3728.154\opera.exe => No File
FirewallRules: [TCP Query User{AE993FDA-A6C4-4D49-A42E-8F170F2B38BC}C:\users\user\appdata\local\programs\opera\70.0.3728.178\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera\70.0.3728.178\opera.exe => No File
FirewallRules: [UDP Query User{83D0B254-7AEF-4E18-9806-C2C48E843D97}C:\users\user\appdata\local\programs\opera\70.0.3728.178\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera\70.0.3728.178\opera.exe => No File
FirewallRules: [TCP Query User{7211AEEF-5F79-4D43-9CA6-2F1E8D2F0998}C:\program files (x86)\manycam\manycam.exe] => (Block) C:\program files (x86)\manycam\manycam.exe => No File
FirewallRules: [UDP Query User{198F39EF-4F2B-4026-804F-D2A0755AAC55}C:\program files (x86)\manycam\manycam.exe] => (Block) C:\program files (x86)\manycam\manycam.exe => No File
FirewallRules: [TCP Query User{847E44E2-B673-4779-9AA3-6AA95ACD63DF}C:\users\user\appdata\local\programs\opera\70.0.3728.189\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera\70.0.3728.189\opera.exe => No File
FirewallRules: [UDP Query User{C27F4F65-A5EB-4DE5-87C4-F8B2EABFAA58}C:\users\user\appdata\local\programs\opera\70.0.3728.189\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera\70.0.3728.189\opera.exe => No File
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.2\FFExt\light_plugin_firefox\addon.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.2\FFExt\light_plugin_firefox\addon.xpi => not found
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[EnderManch990]

Fixlog.txt

 

 

И самым странным было то, что при запуске ОС (до всех этих манипуляций) запускалась командная строка на доли секунды, при этом в диспетчере задач был процесс tor, запущенный от имени администратора.

Также, включая сегодня ноутбук, процессор нагружал сильно встроенный в WIndows калькулятор, и вместе с ним был тот самый процесс tor.exe.

Но при удалении папки с файлом tor.exe, она создавалась заново и всё с теми же файлами.

[thyrex]

Изменения есть или все по-прежнему?

[EnderManch990]

Сейчас ничего не появляется. Ноутбук стал работать быстрее.

Спасибо за помощь.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[BKmusor]

Проделал все действия что описаны выше, ничего не помогло, всё также вылезает окошко с той же самой ошибкой.

 

[Sandor]

@BKmusor, здравствуйте!

 

Рекомендации написаны специально для ТС.

Если у вас похожая проблема, создайте свою тему и выполните Порядок оформления запроса о помощи