Перейти к содержанию

[РЕШЕНО] вирус(троян?) блокирует запуск установки винды, скрыл автозагрузки, подмена крипто кошельков


Рекомендуемые сообщения

случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты

автологер тоже похоже закрывается после того как открывается мозила и интернет эксплорер

HiJackThis.loginfo.txtвот что есть

 

log.txt Check_Browsers_LNK.log

 

image.thumb.png.9f8f92b014be7d3fc29c2be297c68df0.pngэти файлы постоянно включаются при перезапуска компьютера, даже если их удалить

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.
P.S. переименцуйте файл  AVbr.exe например на test.exe, если он не запуститься.
 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe

так как он запрещен в политике безопасности вашего компьютера.
 

После перезагрузки системы соберите новый CollectionLog Автологером.

 

 

Ссылка на сообщение
Поделиться на другие сайты

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

Ссылка на сообщение
Поделиться на другие сайты

image.thumb.png.8734a7c73192b781eee1c59f752664df.pngя про этот файл(taskhostw), он закрывается, его тоже пробовал переименовать

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
13 minutes ago, loppener said:

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

 

Здравствуйте,

 

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


После того как пролечитесь им соберите свежие логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты

я же сказал, эта программа закрывается сразу же как запускается. Даже если поменять ее название или выключить интернет. Может надо попробовать через безопасный режим? image.thumb.png.eaeec778596ab0f6f7a10d42eb3c42b7.png
 

Ссылка на сообщение
Поделиться на другие сайты

Если речь идет об утилите AVbr.exe (она использует оболочку утилиты AVZ.exe), то все ок.

image.thumb.png.8734a7c73192b781eee1c59f752664df.png
Если вы его один раз запустили, то не нужно запускать еще раз. Программа удаляет все вредоносные объекты касаемого указанного майнера, затем он автоматически закрывается сам.

Приложите новый лог CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты

если вы говорите автоматически. То закрытие происходит на моменте когда открываются два браузера. Мне кажется автологгер не выполняется до конца, тк архив не создается и вирус просто выключает программу. вот что в итоге image.thumb.png.a4e9efffa72e9f0061a0d9f3034a5ff4.png

 

report2.log

HiJackThis.log результаты программы HiJackThis. начальные буквы это произошло когда у меня был запущен AVZ. на момент когда он закрылся в этот момент открылся лог файл - эти символы были внесены автоматически.

Ссылка на сообщение
Поделиться на другие сайты


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = cureit.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Результат программы Farbar Recovery Scan Tool 

Addition.txt FRST.txt

 

Результат программы AutoLogger. (Он у меня стал работать после того как удалил 22 строчки, которые вы сказали.)

CollectionLog-2022.05.09-00.09.zip

И еще вопрос, не работает вкладка автозагрузок. Как ее можно починить? 

image.png

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKU\S-1-5-21-4050040090-1404827006-1183686162-1001\...\Policies\Explorer: [DisallowRun] 1
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FF NewTab: Mozilla\Firefox\Profiles\h8a9b28t.default-1542538799684 -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__200116
    Folder: C:\ProgramData\RealtekHD
    Folder: C:\ProgramData\WindowsTask
    Folder: C:\ProgramData\Install
    Folder: C:\Users\John
    Folder: C:\ProgramData\RunDLL
    Folder: C:\ProgramData\System32
    Folder: C:\ProgramData\Setup
    2022-04-24 19:17 - 2022-05-08 23:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-04-24 19:17 - 2022-05-08 23:32 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-04-24 19:17 - 2022-04-24 19:18 - 000000000 __SHD C:\ProgramData\Install
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 ____D C:\ProgramData\System32
    Folder: C:\Users\loppener\AppData\Local\GOG.com
    Folder: C:\ProgramData\Parsec
    Folder: C:\ProgramData\GOG.com
    Folder: C:\Users\loppener\AppData\Local\84z0r
    CMD: type C:\Users\loppener\AppData\Roaming\c
    CMD: net user John /active:no
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
    FirewallRules: [{F9A72AF0-065F-4B8E-8E75-2A40D5A245DD}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{A56046A8-8F2D-4042-8058-02060B805FFF}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{77849308-1400-481C-AFCC-7680FB1B37D5}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{D6A938D5-2B2B-41DF-9F8D-5DDF23BAAEBF}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{A2BFD4E8-4325-44B3-AA52-59AD554759D3}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{D19B5AA9-C196-4A5C-981D-779BB7A508BB}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{EB93E757-2C25-4513-A5B9-287C3D0D97F7}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{C536C832-F433-40D3-9F8E-623E71AB3206}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{80D4F970-8414-4C6A-BCD8-37FCF6A78C30}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [TCP Query User{454B5165-90EF-45F0-A0B7-852E8C6E2729}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{63F96FE6-9D4D-415E-A138-436E2AF7DDDF}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [TCP Query User{FE785BD5-3571-4DB6-A972-0E91B9753528}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [{7EB5AEAE-50ED-4C56-B487-6381CAB6DFAC}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{7D0A43E3-8DAC-488D-940B-FA581104E096}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{C9F4351C-A3BF-4498-8BD9-F7397F36F281}] => (Allow) D:\Games\Steam\steamapps\common\Just Die Already\JDGame.exe => Нет файла
    FirewallRules: [{4198F492-FECA-484C-8609-17223CC63E70}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{4BDEB604-A744-4F4F-86CB-F68106497C2A}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{18CB8647-D128-4F66-95D1-C3034D386598}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{77D9DAC3-91D6-46CA-BCE0-2C2D0FF49813}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{93C25D26-83D3-4C73-A4E8-B4C20A560C54}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [{AFE11397-9F34-4DDD-A540-C1370BAA9E98}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [UDP Query User{EAA58A58-7C0C-4EFD-9F52-5601F8D3BE32}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [TCP Query User{AA421F32-06C1-423E-9475-60CC4DB62596}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Удалите учетную запись  John, которую создал майнер

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

8 часов назад, SQ сказал:

Удалите учетную запись  John, которую создал майнер

как его удалить? я не могу найти его на свое компьютере

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CMD: net user John /delete
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Scotty
      От Scotty
      Приветствую. Сегодня на своём ПК открыл файл размером 450 МБ расширение scr (не буду вдаваться в подробности). При попытке открытия файл сразу после двойного клика он моментально удалился антивирусом Kaspersky Security Cloud, а в отчетах отобразилось, что обнаружен, остановлен и удалён объект Trojan.Win32.Badex.c . Гуглил этот Бадекс, но ничего не нашёл. Что это за троян? Да, он удалён, но каковы последствия моей попытки его запуска? Не оставил ли он после себя какую-то активность? На данный момент я произвёл полную проверку и ничего не обнаружено. Но тем не менее хотел бы узнать тут, есть ли что-то, что антивирус мог не обнаружить? Могло ли что-то остаться в системе от этого Трояна? Или я дал недостаточно информации?
    • Anton70
      От Anton70
      Добрый день!
       
      Словил шифровальщик.
      Похоже что зашли на сервер по RDP.
      Зашифровано всё, в том числе и бэкапы. 
      Файлы имеют вид - [WinLock@keemail.me][код]имя файла.Loki
       
      Есть способ расшифровать такие файлы ?
       
      [mod]Не надо выкладывать вирусы на форуме[/mod] 
      FRST.zip files.zip
    • Andreyuser
      От Andreyuser
      У меня периодически вылетает окно не хватает памяти озу и грузится процессор, хотя ни какие  игры и высоконагруженные процессы не были запущены, антивирус установлен kaspersky endpoint security. 
      При сканировании avz  выдал "Подозрение на маскировку процесса hasplms.exe".
      CollectionLog-2022.05.08-17.34.zip
      Сведения о системе.zip
    • Avillon_project
    • Predator21
      От Predator21
      Скрытно нагружает видеокарту на 100%, это наблюдается в MSI Afterburner, но не наблюдается в диспетчере задач. Пытался почистить при помощи UnHackMe, помогает только до первой перезагрузки, после майнер устанавливается заново.
      CollectionLog-2022.05.01-01.22 (1).zip
×
×
  • Создать...