КириллС 0 Опубликовано 28 января, 2021 Share Опубликовано 28 января, 2021 Здравствуйте. Жил, не тужил, но на днях чуть не взломали вк (несколько попыток входа) Подумал утекли пароли, стал чистить систему. Утилита Kaspersky Removal Tool нашла из серьёзного HEUR:Trojan:Script:Generic в кэше хрома. Удалил. В этот же момент быстрая проверка MicrosoftDefender нашла Trojan:Linux/CoinMiner.O!MTB (файл "system") в папке C\Program Files\qemu\ Этот файл поместился в карантин без проблем. А вот Kaspersky Removal Tool нашёл так же в этой папке файлик SystemServices.exe. Определяется как Trojan.Win64.Miner.aljx Пытался удалить, но после удаления, не запускается компьютер. Помог откат. Компьютер запускается, но файл на прежнем месте. Не знаю, как удалить, и стоит ли удалять. qemu, я так понимаю, установлен у меня из-за того, что когда-то устанавливал Xamarin из VisualStudio - может для эмулирования андройда эта программа установилась. В процессах служба SystemServices.exe отключена. По ресурсам ничего не грузит. Нагрузка CPU в норме. Не знаю, нужно ли с этим что-то делать? Вирус? Или ложное срабатывание? Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 28 января, 2021 Автор Share Опубликовано 28 января, 2021 (изменено) Вот что происходило на момент сканирования. MediaGet и ProcessHacker оставил После этого система перестала загружаться. Помог откат, файл восстановился. Вот что сейчас в реестре по этому значению: Сканирование Malwarebytes выдаёт и предлагает то же самое. Система и CPU вроде в норме: Думаю, стоит сказать, что я убрал галочку автозапуска для SystemService.exe (Изначально стояла, но я не замечал, чтобы компьютер глючил) Если это системная служба, то что она делает в папке qemu? Буду благодарен за любую помощь Вот, кстати, что сделал MicrosoftDefender во время сканирования Касперским. Изменено 28 января, 2021 пользователем КириллС Добавил скриншотов Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 января, 2021 Share Опубликовано 28 января, 2021 Здравствуйте. Порядок оформления запроса о помощи. Логи прикрепите к следующему сообщению в данной теме. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 29 января, 2021 Автор Share Опубликовано 29 января, 2021 Понял. Вот, пожалуйста CollectionLog-2021.01.29-16.18.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 января, 2021 Share Опубликовано 29 января, 2021 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 29 января, 2021 Автор Share Опубликовано 29 января, 2021 ГотовоFRSTscan.rar Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 января, 2021 Share Опубликовано 30 января, 2021 MediaGet удалите через Установку программ 1. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION Task: {DD8E3C96-C721-4029-B43C-4CFA65324B8B} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140] AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [140] File: C:\Program Files\qemu\SystemServices.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 30 января, 2021 Автор Share Опубликовано 30 января, 2021 (изменено) Готово. Перезагрузка, которая началась после скрипта, почему-то зависла и оказалась бесконечной. Подождал какое-то время и перезагрузил принудительно. Вот логи: Fixlog.txt PS. может это стоит внимания - винда у меня стоит нелицензионная, приходится раз в пару месяцев активировать с помощью KMS, чтобы не мешала надпись. Может это влияет. Спасибо за помощь. Жду дальнейших рекомендаций Изменено 30 января, 2021 пользователем КириллС Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 30 января, 2021 Share Опубликовано 30 января, 2021 Попробуйте загрузить систему в безопасном режиме, загрузить C:\Program Files\qemu\SystemServices.exe для проверки на virustotal.com и прислать ссылку на результат проверки. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 30 января, 2021 Автор Share Опубликовано 30 января, 2021 Пожалуйста: https://www.virustotal.com/gui/file/c7bb9de918938658d5ef03d01b4d71b97d778ca63c4a07d70fecaa75fce04665/detection Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 января, 2021 Share Опубликовано 31 января, 2021 1. Выделите следующий код: Start:: CreateRestorePoint: S4 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] (Access Denied) [File not signed] <==== ATTENTION C:\Program Files\qemu\SystemServices.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 3 февраля, 2021 Автор Share Опубликовано 3 февраля, 2021 Fixlog.txt Файла на прежнем месте больше нет! Система перезагрузилась нормально и работает! Кажется, работа завершена? Что это - правда был вирус? Почему тогда не грузилась система? Могу ли я считать эту угрозу устранённой? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 3 февраля, 2021 Share Опубликовано 3 февраля, 2021 7 часов назад, КириллС сказал: Что это - правда был вирус? Почему тогда не грузилась система? Вирус. Видимо при удалении не очищались записи о службе, что и приводило к проблеме с загрузкой. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Процитируйте содержимое файла в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
КириллС 0 Опубликовано 4 февраля, 2021 Автор Share Опубликовано 4 февраля, 2021 Цитата SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17] WebSite: www.safezone.cc DateLog: 04.02.2021 13:23:21 Path starting: C:\Users\Kis\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Kis VersionXML: 8.51is-03.02.2021 ___________________________________________________________________________ Windows 10(6.3.19042) (x64) CoreSingleLanguage Версия: 2009 Lang: Russian(0419) Дата установки ОС: 16.10.2020 13:46:24 Статус лицензии: Windows(R), Core edition Windows находится в режиме уведомления Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: ? ФС: [NTFS] Емкость: [118.2 Гб] Занято: [105.1 Гб] Свободно: [13.1 Гб] ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.630.19041.0 Контроль учётных записей пользователя включен (Уровень 3) Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба работает Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ---------------------------- [ Antivirus_WMI ] ---------------------------- Windows Defender (включен и обновлен) --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает --------------------------- [ AntiSpyware_WMI ] --------------------------- Windows Defender (включен и обновлен) ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039 -------------------------- [ SecurityUtilities ] -------------------------- Process Hacker 2.39 (r124) v.2.39.0.124 Eraser 6.2.0.2991 v.6.2.2991 Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039 --------------------------- [ OtherUtilities ] ---------------------------- Git version 2.21.0 v.2.21.0 Внимание! Скачать обновления Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления Backup and Sync from Google v.3.54.3529.0458 Node.js v.14.15.1 Внимание! Скачать обновления ^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^ Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления Microsoft OneDrive v.20.201.1005.0009 Microsoft Visual Studio Code (User) v.1.52.1 Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ 7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления ------------------------------- [ Imaging ] ------------------------------- XnView 2.49.2 v.2.49.2 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.0.0.309 Zoom v.5.4.6 (59296.1207) Внимание! Скачать обновления Viber v.13.3.1.21 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^ Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^ Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe). ------------------------------- [ Browser ] ------------------------------- Google Chrome v.88.0.4324.146 ------------------ [ AntivirusFirewallProcessServices ] ------------------- C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6 C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6 Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. fastback Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! UmmyVideoDownloader v.1.10.10.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! ----------------------------- [ End of Log ] ------------------------------ Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 4 февраля, 2021 Share Опубликовано 4 февраля, 2021 Выполните рекомендации из лога SecurityCheck по обновлениям программ и удалению нежелательных программ, и на этом закончим. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения