Перейти к содержанию

[РЕШЕНО] вирус(троян?) блокирует запуск установки винды, скрыл автозагрузки, подмена крипто кошельков


Рекомендуемые сообщения

случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты

автологер тоже похоже закрывается после того как открывается мозила и интернет эксплорер

HiJackThis.loginfo.txtвот что есть

 

log.txt Check_Browsers_LNK.log

 

image.thumb.png.9f8f92b014be7d3fc29c2be297c68df0.pngэти файлы постоянно включаются при перезапуска компьютера, даже если их удалить

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.
P.S. переименцуйте файл  AVbr.exe например на test.exe, если он не запуститься.
 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe

так как он запрещен в политике безопасности вашего компьютера.
 

После перезагрузки системы соберите новый CollectionLog Автологером.

 

 

Ссылка на сообщение
Поделиться на другие сайты

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

Ссылка на сообщение
Поделиться на другие сайты

image.thumb.png.8734a7c73192b781eee1c59f752664df.pngя про этот файл(taskhostw), он закрывается, его тоже пробовал переименовать

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
13 minutes ago, loppener said:

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

 

Здравствуйте,

 

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


После того как пролечитесь им соберите свежие логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты

я же сказал, эта программа закрывается сразу же как запускается. Даже если поменять ее название или выключить интернет. Может надо попробовать через безопасный режим? image.thumb.png.eaeec778596ab0f6f7a10d42eb3c42b7.png
 

Ссылка на сообщение
Поделиться на другие сайты

Если речь идет об утилите AVbr.exe (она использует оболочку утилиты AVZ.exe), то все ок.

image.thumb.png.8734a7c73192b781eee1c59f752664df.png
Если вы его один раз запустили, то не нужно запускать еще раз. Программа удаляет все вредоносные объекты касаемого указанного майнера, затем он автоматически закрывается сам.

Приложите новый лог CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты

если вы говорите автоматически. То закрытие происходит на моменте когда открываются два браузера. Мне кажется автологгер не выполняется до конца, тк архив не создается и вирус просто выключает программу. вот что в итоге image.thumb.png.a4e9efffa72e9f0061a0d9f3034a5ff4.png

 

report2.log

HiJackThis.log результаты программы HiJackThis. начальные буквы это произошло когда у меня был запущен AVZ. на момент когда он закрылся в этот момент открылся лог файл - эти символы были внесены автоматически.

Ссылка на сообщение
Поделиться на другие сайты


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = cureit.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Результат программы Farbar Recovery Scan Tool 

Addition.txt FRST.txt

 

Результат программы AutoLogger. (Он у меня стал работать после того как удалил 22 строчки, которые вы сказали.)

CollectionLog-2022.05.09-00.09.zip

И еще вопрос, не работает вкладка автозагрузок. Как ее можно починить? 

image.png

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKU\S-1-5-21-4050040090-1404827006-1183686162-1001\...\Policies\Explorer: [DisallowRun] 1
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FF NewTab: Mozilla\Firefox\Profiles\h8a9b28t.default-1542538799684 -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__200116
    Folder: C:\ProgramData\RealtekHD
    Folder: C:\ProgramData\WindowsTask
    Folder: C:\ProgramData\Install
    Folder: C:\Users\John
    Folder: C:\ProgramData\RunDLL
    Folder: C:\ProgramData\System32
    Folder: C:\ProgramData\Setup
    2022-04-24 19:17 - 2022-05-08 23:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-04-24 19:17 - 2022-05-08 23:32 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-04-24 19:17 - 2022-04-24 19:18 - 000000000 __SHD C:\ProgramData\Install
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 ____D C:\ProgramData\System32
    Folder: C:\Users\loppener\AppData\Local\GOG.com
    Folder: C:\ProgramData\Parsec
    Folder: C:\ProgramData\GOG.com
    Folder: C:\Users\loppener\AppData\Local\84z0r
    CMD: type C:\Users\loppener\AppData\Roaming\c
    CMD: net user John /active:no
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
    FirewallRules: [{F9A72AF0-065F-4B8E-8E75-2A40D5A245DD}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{A56046A8-8F2D-4042-8058-02060B805FFF}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{77849308-1400-481C-AFCC-7680FB1B37D5}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{D6A938D5-2B2B-41DF-9F8D-5DDF23BAAEBF}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{A2BFD4E8-4325-44B3-AA52-59AD554759D3}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{D19B5AA9-C196-4A5C-981D-779BB7A508BB}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{EB93E757-2C25-4513-A5B9-287C3D0D97F7}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{C536C832-F433-40D3-9F8E-623E71AB3206}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{80D4F970-8414-4C6A-BCD8-37FCF6A78C30}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [TCP Query User{454B5165-90EF-45F0-A0B7-852E8C6E2729}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{63F96FE6-9D4D-415E-A138-436E2AF7DDDF}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [TCP Query User{FE785BD5-3571-4DB6-A972-0E91B9753528}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [{7EB5AEAE-50ED-4C56-B487-6381CAB6DFAC}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{7D0A43E3-8DAC-488D-940B-FA581104E096}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{C9F4351C-A3BF-4498-8BD9-F7397F36F281}] => (Allow) D:\Games\Steam\steamapps\common\Just Die Already\JDGame.exe => Нет файла
    FirewallRules: [{4198F492-FECA-484C-8609-17223CC63E70}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{4BDEB604-A744-4F4F-86CB-F68106497C2A}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{18CB8647-D128-4F66-95D1-C3034D386598}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{77D9DAC3-91D6-46CA-BCE0-2C2D0FF49813}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{93C25D26-83D3-4C73-A4E8-B4C20A560C54}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [{AFE11397-9F34-4DDD-A540-C1370BAA9E98}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [UDP Query User{EAA58A58-7C0C-4EFD-9F52-5601F8D3BE32}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [TCP Query User{AA421F32-06C1-423E-9475-60CC4DB62596}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Удалите учетную запись  John, которую создал майнер

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

8 часов назад, SQ сказал:

Удалите учетную запись  John, которую создал майнер

как его удалить? я не могу найти его на свое компьютере

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CMD: net user John /delete
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Nik777
      От Nik777
      Здравствуйте, антивирус обнаружил - 
       
      Помогите устранить, 10 мин и компьютер встает...
    • Тоха_Тоха
      От Тоха_Тоха
      Здравствуйте! Подцепили вирус-шифровальщик, все файлы зашифрованы, каким образом он попал в систему - история умалчивает, просьба помочь вернуть файлы в прежнее состояние, файлы и лог приложил.
      касперский.rar FRST.txt Addition.txt
    • dup
      От dup
      Здравствуйте. Столкнулся с проблемой шумной работы ноутбука (ему полгода) и решил проверить все ли в порядке с безопасностью системы. Решив установить антивирус касперского, я натолкнулся на проблему: установщик отказывался запускаться. После поисков решения в интернете установщик запустился и установил антивирус, но на следующий же запуск антивирус исчез. И тогда я решил попробовать установить его ещё раз, после чего и увидел сообщение "Неизвестная ошибка" в окне установщика.
    • Elelel
      От Elelel
      При включении компьютера открывается браузер с сайтом dipladoks.org. В автозапуске браузера самого нет.  В реестре ресурсов нашел команду с этим сайтом. При его удалении - появляется там снова.

      Пробовал по данному методу  ->

      Но при запуске скрипта в АВЗ выдает ошибку . Да и сама программа как-то криво открывается.

      Помогите, пожалуйста. Весь интернет облазил - ничего толкового не нашел. 


       
    • larand
      От larand
      Здравствуйте!
      Помогите, пожалуйста, избавиться от трояна MEM:Trojan.Win32.SEPEH.gen.
      Антивирус Kaspersky Internet Security и утилита Kaspersky Virus Removal Tool данного трояна, вроде бы, удаляют, но через какое-то время он снова появляется.
      Addition.txt AdwCleaner[S00].txt CollectionLog-2022.09.14-11.08.zip FRST.txt
×
×
  • Создать...