Перейти к содержанию

[РЕШЕНО] Подозреваю в системе вирус.


Рекомендуемые сообщения

Подхватил вирус. Были проблемы в том числе и с доступом к сети интернет.

Запускал много утилит антивирусных. Порядка 10 штук. Чистил и тд.

Интернет появился, но подозреваю что вирус сохранился в системе.

Симптомы.

Могу войти в папки(папки от вируса, например C:\ProgramData\Install) через написание адреса, но не вижу папки через проводник.

Не устанавливается антивирус малваре байтс.

 

 

CollectionLog-2021.01.21-00.39.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, thyrex сказал:

Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению

Вот отчеты программы

Reports from Farbar Recovery Scan Tool.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKU\S-1-5-21-3240191407-174693915-3933115399-1001\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
FirewallRules: [TCP Query User{4A341EA7-A8FF-4F51-A0DB-F5855DDD1EA3}D:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\wgc.exe => No File
FirewallRules: [UDP Query User{AC276F70-CB0F-4EB9-95B3-0F73E3BD44CF}D:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\wgc.exe => No File
FirewallRules: [TCP Query User{59B96CCA-3CE8-4BE2-BA8C-9EAE6281C237}D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [UDP Query User{21731938-4733-41EC-9B90-D16CEE2736A3}D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe] => (Allow) D:\programdata\wargaming.net\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [TCP Query User{062B440D-6E93-4510-932F-32104DB2CE53}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => No File
FirewallRules: [UDP Query User{CA3B4DAB-F5CD-42A3-A361-EDCA82F14731}D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe] => (Allow) D:\games\divinity original sin 2 definitive edition\defed\bin\eocapp.exe => No File
FirewallRules: [{77292AA7-97A8-4951-B7C2-84C86D49F5CA}] => (Allow) C:\Users\Николай\AppData\Roaming\Zoom\bin\Zoom.exe => No File
FirewallRules: [{957FF0CB-2D21-44C7-A4AD-596A28D9026B}] => (Allow) C:\Users\Николай\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [TCP Query User{34F0218B-EDF1-4617-9202-87E6AFD0A7C4}D:\games\gamecenter\wgc.exe] => (Allow) D:\games\gamecenter\wgc.exe => No File
FirewallRules: [UDP Query User{204D90B7-9988-4E3B-862D-1BBC8A20D548}D:\games\gamecenter\wgc.exe] => (Allow) D:\games\gamecenter\wgc.exe => No File
FirewallRules: [TCP Query User{E298B6F5-D977-460D-BF1A-C362CDA939BB}D:\games\gamecenter\dlls\wgc_renderer.exe] => (Block) D:\games\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [UDP Query User{23887ED8-4F9A-4D80-A70B-BD0A8A61E7DD}D:\games\gamecenter\dlls\wgc_renderer.exe] => (Block) D:\games\gamecenter\dlls\wgc_renderer.exe => No File
FirewallRules: [TCP Query User{DDC5A6BA-380B-4AB4-88D3-827B4F9EFD3C}C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe => No File
FirewallRules: [UDP Query User{8BEA092C-D706-417F-A1F0-5BEF1291064E}C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe] => (Allow) C:\users\николай\desktop\googlechromeportable\app\chrome-bin\chrome.exe => No File
FirewallRules: [{0E06F347-A33A-41A6-96D6-9E0796103F85}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{9553DDC1-603B-4C8E-B958-1AE67A3D1EBA}] => (Block) LPort=445
FirewallRules: [{70B5C52E-8D7F-480D-A04B-A73CE43B76A0}] => (Block) LPort=445
FirewallRules: [{22DDC581-F2CB-49E6-8803-61369FC12C20}] => (Block) LPort=139
FirewallRules: [{BC83138A-DD59-4C69-96D3-E560953511B4}] => (Block) LPort=139
FirewallRules: [{437498C3-62FE-40C9-8120-D396EF4D6EE7}] => (Allow) LPort=3389
FirewallRules: [{FA816DC8-F74A-40B5-A1A0-E8AF9C45FA7A}] => (Allow) LPort=3389
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, thyrex сказал:

Что с проблемой?

 Визуально вирус не наблюдаю, но подозреваю что он есть. Вероятно какая то часть сохранилась.

Почему так считаю? Остался один путь который визуально ни в проводнике, ни в  командной строке не видно. Но войти в эту папку возможно (скрытые и системные файлы отображаются).

C:\ProgramData\Microsoft\temp

 

Cкрин из проводника, что папки temp не видно:

1883971583_.thumb.png.5872ef7f9d7ec928c7e440872e983120.png

 

Скрин командной строки, что папки temp так же не видно

cmd.png.172934626523dfc9f6d87c24e357447e.png

 

А вот скрин, что в папку можно войти, указав путь вручную

temp.thumb.png.e5952c93bd74d83506841c2585376fa8.png

 

Получается, что то блокирует отображение данной папки в проводнике?

А самое главное, про папку я знаю,  потому что там утилиты находили вирус.

Какие "волшебные папки" еще не найдены, вопрос остается открытым.

Изменено пользователем demwf
Ссылка на сообщение
Поделиться на другие сайты

Запустите Хиджак (он есть в папке Автологера) с ключом командной строки

/silentautolog /Area:Environment

полученный лог потом прикрепите здесь.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Microsoft\Check');
 PD_folders.Add('Microsoft\Intel');
 PD_folders.Add('Microsoft\temp');
 PD_folders.Add('Norton');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('bebca3bc90');
 PD_folders.Add('grizzly');
 PD_folders.Add('install');
 PD_folders.Add('microsoft\clr_optimization_v4.0.30318_64');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Internet Explorer\bin');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('RDP Wrapper');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i : integer;

begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  AddToLog(fname + ' - Exists');
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure Del_c_rdp;
var c_rdp: string;

begin
 c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp');
 if DirectoryExists(NormalDir(c_rdp)) then
	  begin
		  AddToLog(c_rdp + ' - Exists');
		  FSResetSecurity(c_rdp);
		  QuarantineFileF(c_rdp, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*, *.rar', true, '', 0, 0);
		  DeleteFile(c_rdp + '..txt');
		  DeleteFile(c_rdp + 'bat.bat');
		  DeleteFile(c_rdp + 'pause.bat');
		  DeleteFile(c_rdp + 'run.vbs');
		  DeleteFile(c_rdp + 'install.vbs');
		  DeleteFile(c_rdp + 'fsuc.vbs');
		  DeleteFile(c_rdp + 'db.rar');
		  DeleteFile(c_rdp + 'Rar.exe');
		  DeleteFile(c_rdp + 'RDPWInst.exe');
		  DeleteFile(c_rdp + 'Privatek.exe');
		  DeleteDirectory(c_rdp);
	  end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
 if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
 begin
  AddToLog('HKEY_USERS\' + SID_Name + PolExplKey + DR + ' - Exists');
  BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
  RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
  RegKeyParamDel('HKEY_USERS', SID_Name + PolExplKey, DR);
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 // SetupAVZ('debug=y');
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 Del_c_rdp;
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
 L_SID := TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun(L_SID[i]);
 L_SID.Free;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true);
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 ExecuteWizard('SCU', 3, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
end.

 

 

Проверьте проблему.

Ссылка на сообщение
Поделиться на другие сайты

Визуально вирус не наблюдаю. Установленный антивирус, малваре байтс удалился. Да и черт с ним.

Установил Аваст. Всем откликнувшимся спасибо и успехов в новом году!

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
Цитата

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.329.19041.0 Внимание! Скачать обновления
------------------------------- [ HotFix ] --------------------------------
HotFix KB4598242 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.10.0.1.35811 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.65 v.8.65 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.5.6 Full v.15.5.6 Внимание! Скачать обновления

выполните рекомендованное, и на этом закончим.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Nikolay65
      Здравствуйте! 
      приобрел KTS, скачал с сайта файл kts21.2.16.590abru_26438.  Когда я открываю ЕХЕ файл, в ответ ничего не происходит. Пытаюсь запустить KVRT, но после нажатия кнопки "начать проверку" ничего не происходит. Скачать dr.web cureit не получается, так как сразу закрывается страница браузера. Я видел здесь уже похожую тему. В ней парню помогли пофиксить эту проблему с помощью Fabar recovery. Может и мне поможет?
       
      CollectionLog-2021.03.06-15.13.zip
    • От ItzAMEGA
      Здравствуйте!
       
      Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.
      P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.
       
      Заранее спасибо.

      отчет.txt
    • От eugene_peeers
      Доброго времени суток уважаемые форумчане,столкнулся с проблемой,не запускается Установщик Kaspersky Total Security.
      Были вирусы, полностью вычистил KVRT не помогло.
      CollectionLog-2021.03.02-22.58.zip
    • От bakeryamaker
      Добрый вечер! 
      Рассказываю ситуацию : подхватил вирус на свой ноутбук, открыв папку с вирусом, антивирус сразу заругался, вылезло насколько окон о том, что "...файл помещен в карантин..."
      Я подумал, что можно не волноваться (моя глупость) ещё намного поработал, и успешно выключил ноутбук. 
      После последующего запуска системы, решил зайти в антивирус, проверить ноутбук, мало ли что осталось. Но антивирус не запускается, сколько бы я не тыкал мышкой. Хорошо, решил поискать в интернете, что это за проблема, жму на иконку хрома, а там все то же самое, но, попрошу заметить: работает проводник! 
      От имени администратора запустить тоже ничего нельзя, кнопки просто нет. 
      Командную строку через Win+R запустить тоже не получается, выбивает ошибку: Интерфейс не поддерживается. 
      Видел примерно такую же проблему на этом форуме, но там как то получилось поставить ComboFix, у меня же он просто не запустился, как и все остальные программы. 
      Диспетчер задач, что угодно вообще не открываются.... 
      Не могли бы вы мне помочь? Буду очень благодарен за помощь! 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • От anspasper
      лог не могу применить в AVZ, пишет установите новую версию, где взять ее


×
×
  • Создать...