Обнаружена активная вредоносная программа.

[Twixson]

Появилась табличка , что обнаружена активная вредоносная программа.
Обнаружено: HEUR: Trojan.Win64.Miner.gen
Расположение: С:\ProgramData\CSGOCals\CSGOCals.exe
При выборе  - лечить с перезагрузкой компьютера. Компьютер перезагружается и при запуске выплывают 2-3 какие-то ошибки и при загрузки рабочего стола, табличка появляется вновь.
 

 

 

CollectionLog-2021.07.02-00.05.zip

Изменено 1 июля, 2021 пользователем Twixson

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Twixson]

Архив.rar

[thyrex]

Цитата

MediaGet (HKU\S-1-5-21-2451297859-4093911093-1942781354-1001\...\MediaGet) (Version:  - MediaGet)
YoutubeDownloader (HKLM-x32\...\F1451144-CAED-4A5B-A23A-BF23016DA2C7) (Version: 2.0.0.1366 - )
Кнопка "Яндекс" на панели задач (HKU\S-1-5-21-2451297859-4093911093-1942781354-1001\...\YaPinLancher) (Version: 2.2.1.54 - Яндекс)

удалите через Установку программ

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{f9f8683b-9dbb-4697-baa1-08da532f94de}: [NameServer] 178.175.133.58,37.1.207.126
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-06-26] (SignPath Foundation -> Transmission Project)
2021-06-27 00:32 - 2021-07-02 06:00 - 000000000 ____D C:\ProgramData\CSGOCalc
2021-06-27 00:31 - 2021-06-27 00:31 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-05-26 16:57 - 2021-05-28 01:12 - 000000000 ____D C:\Program Files (x86)\qYxURwIucBUn
2021-05-26 16:57 - 2021-05-28 01:12 - 000000000 ____D C:\Program Files (x86)\LsEPvjwcpIE
2021-05-26 16:57 - 2021-05-26 17:25 - 000000000 ____D C:\ProgramData\uEjCnbKcKhrQSbVB
2021-05-26 16:57 - 2021-05-26 17:25 - 000000000 ____D C:\Program Files (x86)\PavYfApjU
2021-05-26 16:57 - 2021-05-26 17:25 - 000000000 ____D C:\Program Files (x86)\iMYqszWOivtOYSEHBYR
2021-05-26 16:57 - 2021-05-26 17:25 - 000000000 ____D C:\Program Files (x86)\BKwlULeNZIjU2
2021-05-26 16:57 - 2021-05-26 17:25 - 000000000 ____D C:\Program Files (x86)\ATjCnzRXjsCTC
2021-05-26 16:56 - 2021-05-26 16:56 - 000000000 ____D C:\ProgramData\HRtpbxTRBfVfLrp
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-2451297859-4093911093-1942781354-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
SearchScopes: HKU\S-1-5-21-2451297859-4093911093-1942781354-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2451297859-4093911093-1942781354-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{B19EFE5B-C0D7-4D71-992C-2C0C60D202AB}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [{C8BA77E0-0996-462F-A7C3-53B43A533DB4}] => (Allow) D:\Games\Grand Theft Auto V\GTA5.exe => Нет файла
FirewallRules: [UDP Query User{6CD42CE5-BEDA-4557-B135-1ADE3E6C2334}D:\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) D:\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [TCP Query User{99CE81B6-52B0-44CF-9FF6-3F326666206D}D:\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) D:\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{97C424EA-A26C-4F62-AF2F-59FD0CFDC6AB}] => (Block) D:\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{D2451FE8-A44E-456F-81A3-83F528194BF3}] => (Block) D:\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{CACA83D5-259B-4E3A-BDB6-C8303CA559C3}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (GLOBAL MICROTRADING PTE. LTD. -> MediaGet LLC)
FirewallRules: [{85E1406C-47FF-4B35-9CFA-BAFC64A71B49}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (GLOBAL MICROTRADING PTE. LTD. -> MediaGet LLC)
FirewallRules: [{3852EF94-0721-4B54-9876-6964D2C749F6}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{F082449C-8135-4854-B864-112B9E0FC077}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{CA01EB3C-C450-423C-B34C-4C9B545B5570}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{928C21A1-063D-4383-94D9-16F6EDDF2BFB}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{50A3CEBA-62DD-4245-B946-872B72D6F5EF}] => (Allow) G:\bin\tools\aria2c.exe => Нет файла
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Twixson]

Fixlog.txt

[thyrex]

Проблема решена?

[Twixson]

Проблема решилась, огромное вам спасибо. Вопрос такой только остался, это был троян? Если он, то почему возникли такие сложности у антивируса? 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Twixson]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 08.07.2021 18:23:19
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 8.90is-03.07.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) Professional Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 08.05.2021 17:33:43
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 161533 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [110.6 Гб] Занято: [54.9 Гб] Свободно: [55.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
Kaspersky Total Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Total Security v.21.3.10.391
Kaspersky Password Manager v.9.0.2.767
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader  7.3.0.118 v.v 7.3.0.118 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft OneDrive v.21.119.0613.0001 [+]
Яндекс.Диск v.3.2.10.4204
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Steam v.2.10.91.91
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.02 alpha (x64) v.19.02 alpha [+]
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
7-Zip 9.30 (x64 edition) v.9.30.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2123.8
Telegram Desktop version 2.8.4 v.2.8.4
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.21.3.10.391
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP, версия 4.0.0.1697 v.4.0.0.1697 Внимание! Скачать обновления
K-Lite Mega Codec Pack 16.2.5 v.16.2.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
ph v.1.0.0 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
bl v.1.0.0 << Скрыта Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Yandex v.21.6.0.616
Google Chrome v.91.0.4472.124
Microsoft Edge v.91.0.864.64
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 21.3 (AVP21.3) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\avp.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\avpui.exe v.21.3.12.434
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksde.exe v.21.3.0.1
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Secure Connection 5.3\ksdeui.exe v.21.3.12.434
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
vknotаtkе_DJ v.1.00075153 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
uBlock Pro - #1 Adblocker 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Установите обновления указанных программ, обратите внимание на секцию UnwantedApps.

 

03.07.2021 в 19:22, Twixson сказал:

почему возникли такие сложности у антивируса? 

Ответ специалиста можно найти в этом сообщении.

 

На этом лечение считаем оконченным.