Вирусы в разрешенных угрозах\исключениях

[MilligramSmile]

Собственно в Защитник Windows (Windows Defender) прописались на ПМЖ толпа вирусов - в разрешенные угрозы и в исключения. Удалить\очистить список не получается, хотя самих вирусов уже нету, но это не точно.

 

ps. раз так вышло, может стоит отказаться от этого встроенного антивируса ?

 

CollectionLog-2021.04.04-00.24.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\sJdGKRcoguMMSfVB\ukVTPEh.wsf','');
 DeleteFile('C:\ProgramData\sJdGKRcoguMMSfVB\ukVTPEh.wsf','64');
 DeleteSchedulerTask('fgfMtaOsZoelk2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[MilligramSmile]

quarantine.zip загрузил, написали:

Файл сохранён как	210403_221841_quarantine_6068e9c1c1dc7.zip
Размер файла	2870
MD5	f5b04ca23663ae174d575923eb79ed93

CollectionLog-2021.04.04-01.21.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[MilligramSmile]

Файлы FRST и Addition в архиве

 

Desktop.rar

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2019-11-29] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
FF ExtraCheck: C:\Program Files\mozilla firefox\umbrella.cfg [2020-11-18] <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" 
C:\Users\Smile\AppData\Local\Google\Chrome\User Data\Default\Extensions\gakekacnalcpkgkogmbmknlcdikjghba
AlternateDataStreams: C:\Users\Smile\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Smile\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-1526397212-120877525-1708645886-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
FirewallRules: [TCP Query User{ECD5E7D4-321E-41C2-B293-92E1B2184DC4}E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [UDP Query User{648B30E5-1CE0-438C-A166-B41D728585B6}E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\1\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [TCP Query User{0DE21A2C-F152-408C-AFC2-23363CF61CB9}E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [UDP Query User{AC24A4EA-05E5-4E7A-ACE9-641E3F1E0CD6}E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe] => (Allow) E:\разное\backup\games\dead by daylight\2\cookiefinder\cookiefinder.exe => Нет файла
FirewallRules: [TCP Query User{F40505B1-1EB6-42DF-8AE7-82DDEF0E54EF}C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [UDP Query User{2742FA2F-90C8-4F3C-905F-30E94965925B}C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [TCP Query User{9414B959-C7DD-4CE3-9B65-C3B578E4E1D2}C:\users\smile\downloads\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\dbd cookie finder.exe => Нет файла
FirewallRules: [UDP Query User{DAE74126-B8C2-4CE0-8C12-F682A33F85C3}C:\users\smile\downloads\finder_1012\dbd cookie finder.exe] => (Allow) C:\users\smile\downloads\finder_1012\dbd cookie finder.exe => Нет файла
2021-04-03 23:46 - 2021-04-04 01:16 - 000000000 ____D C:\ProgramData\sJdGKRcoguMMSfVB
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[MilligramSmile]

Fixlog.txt

[thyrex]

Пробуйте теперь удалить файлы из исключений и разрешений Защитника

[MilligramSmile]

Зашел пробовать а там пусто, все чисто.

Да же прокси в Firefox разблокировался а то был какой ip адрес и файл *.dat...

Я так понимаю на этом все ?, т.к. сам Защитник и Dr.Web CureIt показывают по нулям, угроз нет...

 

Второстепенный вопрос, стоит ли установить еще какой-нить антивирус, помимо Защитника ? А то как слышат Защитник, сразу глаза закатывают...

 

зы. не могу удалить C:\FRST, нет прав пишет...

 

Изменено 4 апреля, 2021 пользователем MilligramSmile

[thyrex]

Для удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe и запустите. Потребуется перезагрузка.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[MilligramSmile]

Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 04.04.2021 20:59:09
Path starting: C:\Users\Smile\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Smile
VersionXML: 7.94s-04.10.2020
___________________________________________________________________________

Windows 10(6.3.17763) (x64) EnterpriseS Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 26.06.2019 21:03:07
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 67024 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 67024 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: ? ФС: [NTFS] Емкость: [118.7 Гб] Занято: [56.7 Гб] Свободно: [62 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1790.17763.0 [+]
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Восстановление системы отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36 [+]
K-Lite Mega Codec Pack 15.6.0 v.15.6.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.1 [+]
Steam v.2.10.91.91
TeamViewer v.15.10.5
TeamViewer (TeamViewer) - Служба работает
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
7-Zip 9.20 (x64 edition) v.9.20.00.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.309 [+]
Skype, версия 8.67 v.8.67 [+]
--------------------------------- [ P2P ] ---------------------------------
uTorrent v.3.5.5.45271 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.453 [+]
Adobe Acrobat DC v.20.013.20064 [+]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 87.0 (x64 ru) v.87.0 [+]
Google Chrome v.89.0.4389.114 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MsMpEng.exe v.4.18.2102.4
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\NisSrv.exe v.4.18.2102.4
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.84.2 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
Youtube Downloader HD v. 3.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

 

 

54 минуты назад, thyrex сказал:

Для удаления Farbar Recovery Scan Tool переименуйте исполняемый файл FRST64.exe (или FRST.exe) в Uninstall.exe и запустите. Потребуется перезагрузка.

я немного по другому поступил, получилось удалить...

[thyrex]

Выполните рекомендации по обновлениям программ и удалению нежелательного ПО из лога SecurityCheck, и на этом закончим. 

[MilligramSmile]

Спасибо!