[РЕШЕНО] Проверка после лечения активного заражения.

[Sapfira]

Антивирус обнаружил HEUR:Trojan.Win32.Generic в папке C:\Users\ROYU\AppData\Local\Temp с именем 076e6db4c.exe и предложил удалить, т.к. лечение невозможно. В процессе удаления, обнаружилось ещё Trojan.Multi.GenAutorunReg.a в системной памяти и предложилось лечение. Пока шло удаление и лечение, пропал рабочий стол, но когда компьютер перезагрузился, всё стало нормально.

После перезагрузки антивирус предложил проверить систему на наличие повреждений, ничего не обнаружилось. Потом прогнала быструю проверку - вирусов нет. В отчётах сказано, что лечение и удаление вирусов прошло успешно (их копии лежат в карантине).

В общем, вроде бы всё устранилось, но на всякий случай, нужно провериться более детально.

 

Отчёт:  CollectionLog-2021.04.07-01.12.zip

 

P.S. на всякий случай ещё почистила папку C:\Users\ROYU\AppData\Local\Temp, но уже после создания отчета.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Sapfira]

FRST.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
S4 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe" [X]
FirewallRules: [{C8F32E9C-49A8-4867-BA4E-B714F53DFA77}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{4A338EB4-E9DB-4B32-B2E7-BB5E0E759D95}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
FirewallRules: [{2CDF861A-8448-42EB-B8A5-9CDD919E86A7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{9BA63114-4337-4632-AB70-8F3D3845864A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{AF9BEAFF-C2DC-45B4-B348-98BC36D72701}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\AOMEI Backupper 5.7.0\ABService.exe => Нет файла
FirewallRules: [{63BB6988-A2AD-4B64-B7A7-1740F8B087A7}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\AOMEI Backupper 5.7.0\ABService.exe => Нет файла
FirewallRules: [TCP Query User{01A40CF3-00ED-4286-9B9E-6747FD667ECA}C:\users\royu727\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\royu727\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{6159DF2F-2C12-483E-A668-472E3A556FCD}C:\users\royu727\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\royu727\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{7460CC80-ADE9-401F-86DD-0FAA814AF82D}] => (Allow) C:\Program Files\Intel\STCServ\STCServ.exe => Нет файла
FirewallRules: [{8B252886-5F5C-4F02-B946-4B8DED0C273B}] => (Allow) C:\Program Files\Intel\STCServ\STCServ.exe => Нет файла
FirewallRules: [{E7373559-DBF6-4A9F-8DD3-347750C7C55A}] => (Allow) C:\Users\ROYU\Downloads\Soluto_1.3.1328.exe => Нет файла
FirewallRules: [{280E95DD-FB56-4D17-8934-53F7F536D536}] => (Allow) C:\Users\ROYU\Downloads\Soluto_1.3.1328.exe => Нет файла
FirewallRules: [{08F7F93A-5252-40ED-9DC5-14B68546FDE5}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller(1).exe => Нет файла
FirewallRules: [{59CF1D59-CC44-409B-A1FB-AB40C85B199C}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller(1).exe => Нет файла
FirewallRules: [{08F95BBE-0F47-49B3-8F87-60BA71E577A8}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller.exe => Нет файла
FirewallRules: [{AC0032FC-C1FB-44D6-9DA9-0609E3AB82CD}] => (Allow) C:\Users\ROYU\Downloads\solutoinstaller.exe => Нет файла
FirewallRules: [{03E8FEEB-2C23-4A2D-8F27-1CA0CA047080}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\ABService.exe => Нет файла
FirewallRules: [{85437D87-3F56-4E14-8200-D45BCC75A846}] => (Allow) D:\Программы\Сканеры и прочая защита\AOMEI Backupper\ABService.exe => Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [146]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [282]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Sapfira]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Sapfira]

Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 10.04.2021 18:13:45
Path starting: C:\Users\ROYU\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: ROYU
VersionXML: 8.66is-03.04.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Core Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 01.06.2020 09:13:20
Статус лицензии: Windows(R), Core edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Mozilla Firefox\firefox.exe
Системный диск: С: ФС: [NTFS] Емкость: [99.4 Гб] Занято: [80.9 Гб] Свободно: [18.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен (Уровень 4)
Уведомлять о загрузке и установке обновлений
Уведомлять о загрузке и установке обновлений
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
Kaspersky Security Cloud (выключен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Security Cloud (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Internet Security (выключен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Security Cloud v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
-------------------------- [ SecurityUtilities ] --------------------------
HitmanPro 3.8 v.3.8.20.314
VirusTotal Uploader 2.2
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.21.0.36 v.3.21.0.36
Microsoft Visual Studio Code (User) v.1.54.3 Внимание! Скачать обновления
Steam v.2.10.91.91
TeamViewer v.15.16.8
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Inkscape v.1.0.2--2
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.68 v.8.68
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45966 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 87.0 (x64 ru) v.87.0
Yandex v.21.2.4.165 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Brave v.89.1.22.71
Microsoft Edge v.89.0.774.75 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
HitmanPro Scheduler (HitmanProScheduler) - Служба остановлена
C:\Program Files\HitmanPro\hmpsched.exe v.3.8.20.314
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avp.exe v.21.3.10.391
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Cloud 21.3\avpui.exe v.21.3.10.391
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MsMpEng.exe v.4.18.2102.4
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\NisSrv.exe v.4.18.2102.4
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.10.5.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Kerish Doctor 2021 v.4.85 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
D:\Программы\Оптимизаторы системы\Kerish Doctor\KerishDoctor.exe v.4.85.0.0
----------------------------- [ End of Log ] ------------------------------

 

 

Изменено 10 апреля, 2021 пользователем Sapfira

[thyrex]

Установите обновления указанных в логе программ, обратите внимание на программы из секции UnwantedApps, и на этом закончим.

[Sapfira]

Яндекс и Вин-Рар обновила, Visual Studio Code не нужен, позже как-нибудь удалю.

В UnwantedApps всё в норме, кнопка "Яндекс" и "Алиса" вместе с Яндекс-браузером всегда ставятся, UmmyVideoDownloader и Kerish Doctor пользуюсь.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".