[РЕШЕНО] Подозреваю в системе вирус.

[demwf]

Подхватил вирус. Были проблемы в том числе и с доступом к сети интернет.

Запускал много утилит антивирусных. Порядка 10 штук. Чистил и тд.

Интернет появился, но подозреваю что вирус сохранился в системе.

Симптомы.

Могу войти в папки(папки от вируса, например C:\ProgramData\Install) через написание адреса, но не вижу папки через проводник.

Не устанавливается антивирус малваре байтс.

 

 

CollectionLog-2021.01.21-00.39.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[demwf]

7 часов назад, thyrex сказал:

Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению

Вот отчеты программы

Reports from Farbar Recovery Scan Tool.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKU\S-1-5-21-3240191407-174693915-3933115399-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{4A341EA7-A8FF-4F51-A0DB-F5855DDD1EA3}D:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\wgc.exe => No File
FirewallRules: [UDP Query User{AC276F70-CB0F-4EB9-95B3-0F73E3BD44CF}D:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\wgc.exe => No File
FirewallRules: [TCP Query User{59B96CCA-3CE8-4BE2-BA8C-9EAE6281C237}D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [UDP Query User{21731938-4733-41EC-9B90-D16CEE2736A3}D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [TCP Query User{062B440D-6E93-4510-932F-32104DB2CE53}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => No File
FirewallRules: [UDP Query User{CA3B4DAB-F5CD-42A3-A361-EDCA82F14731}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => No File
FirewallRules: [{77292AA7-97A8-4951-B7C2-84C86D49F5CA}] => (Allow) C:\Users\Николай\AppData\Roaming\Zoom\bin\Zoom.exe => No File
FirewallRules: [{957FF0CB-2D21-44C7-A4AD-596A28D9026B}] => (Allow) C:\Users\Николай\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [TCP Query User{34F0218B-EDF1-4617-9202-87E6AFD0A7C4}D:\games\gamecenter\wgc.exe] => (Allow) D:\games\gamecenter\wgc.exe => No File
FirewallRules: [UDP Query User{204D90B7-9988-4E3B-862D-1BBC8A20D548}D:\games\gamecenter\wgc.exe] => (Allow) D:\games\gamecenter\wgc.exe => No File
FirewallRules: [TCP Query User{E298B6F5-D977-460D-BF1A-C362CDA939BB}D:\games\gamecenter\dlls\wgc_renderer.exe] => (Block) D:\games\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [UDP Query User{23887ED8-4F9A-4D80-A70B-BD0A8A61E7DD}D:\games\gamecenter\dlls\wgc_renderer.exe] => (Block) D:\games\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [TCP Query User{DDC5A6BA-380B-4AB4-88D3-827B4F9EFD3C}C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe => No File
FirewallRules: [UDP Query User{8BEA092C-D706-417F-A1F0-5BEF1291064E}C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe => No File
FirewallRules: [{0E06F347-A33A-41A6-96D6-9E0796103F85}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{9553DDC1-603B-4C8E-B958-1AE67A3D1EBA}] => (Block) LPort=445
FirewallRules: [{70B5C52E-8D7F-480D-A04B-A73CE43B76A0}] => (Block) LPort=445
FirewallRules: [{22DDC581-F2CB-49E6-8803-61369FC12C20}] => (Block) LPort=139
FirewallRules: [{BC83138A-DD59-4C69-96D3-E560953511B4}] => (Block) LPort=139
FirewallRules: [{437498C3-62FE-40C9-8120-D396EF4D6EE7}] => (Allow) LPort=3389
FirewallRules: [{FA816DC8-F74A-40B5-A1A0-E8AF9C45FA7A}] => (Allow) LPort=3389
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[demwf]

1 час назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.zip

[thyrex]

Что с проблемой?

[demwf]

25 минут назад, thyrex сказал:

Что с проблемой?

 Визуально вирус не наблюдаю, но подозреваю что он есть. Вероятно какая то часть сохранилась.

Почему так считаю? Остался один путь который визуально ни в проводнике, ни в  командной строке не видно. Но войти в эту папку возможно (скрытые и системные файлы отображаются).

C:\ProgramData\Microsoft\temp

 

Cкрин из проводника, что папки temp не видно:

 

Скрин командной строки, что папки temp так же не видно

 

А вот скрин, что в папку можно войти, указав путь вручную

 

Получается, что то блокирует отображение данной папки в проводнике?

А самое главное, про папку я знаю,  потому что там утилиты находили вирус.

Какие "волшебные папки" еще не найдены, вопрос остается открытым.

Изменено 21 января, 2021 пользователем demwf

[regist]

Запустите Хиджак (он есть в папке Автологера) с ключом командной строки

/silentautolog /Area:Environment

полученный лог потом прикрепите здесь.

Изменено 21 января, 2021 пользователем regist

[demwf]

17 минут назад, regist сказал:

полученный лог потом прикрепите здесь.

 

HiJackThis.zip

[regist]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Microsoft\Check');
 PD_folders.Add('Microsoft\Intel');
 PD_folders.Add('Microsoft\temp');
 PD_folders.Add('Norton');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('bebca3bc90');
 PD_folders.Add('grizzly');
 PD_folders.Add('install');
 PD_folders.Add('microsoft\clr_optimization_v4.0.30318_64');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Internet Explorer\bin');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('RDP Wrapper');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i : integer;

begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  AddToLog(fname + ' - Exists');
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure Del_c_rdp;
var c_rdp: string;

begin
 c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp');
 if DirectoryExists(NormalDir(c_rdp)) then
	  begin
		  AddToLog(c_rdp + ' - Exists');
		  FSResetSecurity(c_rdp);
		  QuarantineFileF(c_rdp, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*, *.rar', true, '', 0, 0);
		  DeleteFile(c_rdp + '..txt');
		  DeleteFile(c_rdp + 'bat.bat');
		  DeleteFile(c_rdp + 'pause.bat');
		  DeleteFile(c_rdp + 'run.vbs');
		  DeleteFile(c_rdp + 'install.vbs');
		  DeleteFile(c_rdp + 'fsuc.vbs');
		  DeleteFile(c_rdp + 'db.rar');
		  DeleteFile(c_rdp + 'Rar.exe');
		  DeleteFile(c_rdp + 'RDPWInst.exe');
		  DeleteFile(c_rdp + 'Privatek.exe');
		  DeleteDirectory(c_rdp);
	  end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
 if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
 begin
  AddToLog('HKEY_USERS\' + SID_Name + PolExplKey + DR + ' - Exists');
  BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
  RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
  RegKeyParamDel('HKEY_USERS', SID_Name + PolExplKey, DR);
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 // SetupAVZ('debug=y');
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 Del_c_rdp;
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
 L_SID := TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun(L_SID[i]);
 L_SID.Free;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true);
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 ExecuteWizard('SCU', 3, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
end.

 

 

Проверьте проблему.

[demwf]

Визуально вирус не наблюдаю. Установленный антивирус, малваре байтс удалился. Да и черт с ним.

Установил Аваст. Всем откликнувшимся спасибо и успехов в новом году!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[demwf]

5 часов назад, thyrex сказал:

Процитируйте содержимое файла в своем следующем сообщении

 

SecurityCheck.zip

[thyrex]

Цитата

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.329.19041.0 Внимание! Скачать обновления
------------------------------- [ HotFix ] --------------------------------
HotFix KB4598242 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.10.0.1.35811 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.65 v.8.65 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.5.6 Full v.15.5.6 Внимание! Скачать обновления

выполните рекомендованное, и на этом закончим.

[demwf]

1 час назад, thyrex сказал:

выполните рекомендованное, и на этом закончим

 

Благодарю и удачи!