[РЕШЕНО] вирус(троян?) блокирует запуск установки винды, скрыл автозагрузки, подмена крипто кошельков

[loppener 1]

случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 

Изменено 8 мая пользователем loppener

[loppener 1]

автологер тоже похоже закрывается после того как открывается мозила и интернет эксплорер

HiJackThis.loginfo.txtвот что есть

 

log.txt Check_Browsers_LNK.log

 

эти файлы постоянно включаются при перезапуска компьютера, даже если их удалить

 

[SQ 827]

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.
P.S. переименцуйте файл  AVbr.exe например на test.exe, если он не запуститься.
 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe

так как он запрещен в политике безопасности вашего компьютера.
 

После перезагрузки системы соберите новый CollectionLog Автологером.

 

 

[loppener 1]

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

[thyrex 1353]

Вам же ясно написали - переименуйте программу

[loppener 1]

я про этот файл(taskhostw), он закрывается, его тоже пробовал переименовать

Изменено 8 мая пользователем loppener

[SQ 827]

13 minutes ago, loppener said:

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

 

Здравствуйте,

 

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.

После того как пролечитесь им соберите свежие логи по правилам.

[loppener 1]

я же сказал, эта программа закрывается сразу же как запускается. Даже если поменять ее название или выключить интернет. Может надо попробовать через безопасный режим? 
 

[SQ 827]

Если речь идет об утилите AVbr.exe (она использует оболочку утилиты AVZ.exe), то все ок.


Если вы его один раз запустили, то не нужно запускать еще раз. Программа удаляет все вредоносные объекты касаемого указанного майнера, затем он автоматически закрывается сам.

Приложите новый лог CollectionLog Автологером.

[loppener 1]

если вы говорите автоматически. То закрытие происходит на моменте когда открываются два браузера. Мне кажется автологгер не выполняется до конца, тк архив не создается и вирус просто выключает программу. вот что в итоге 

 

report2.log

HiJackThis.log результаты программы HiJackThis. начальные буквы это произошло когда у меня был запущен AVZ. на момент когда он закрылся в этот момент открылся лог файл - эти символы были внесены автоматически.

[SQ 827]

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = cureit.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[loppener 1]

Результат программы Farbar Recovery Scan Tool 

Addition.txt FRST.txt

 

Результат программы AutoLogger. (Он у меня стал работать после того как удалил 22 строчки, которые вы сказали.)

CollectionLog-2022.05.09-00.09.zip

И еще вопрос, не работает вкладка автозагрузок. Как ее можно починить? 

Изменено 8 мая пользователем loppener

[SQ 827]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   SystemRestore: On
   CreateRestorePoint:
   HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
   HKU\S-1-5-21-4050040090-1404827006-1183686162-1001\...\Policies\Explorer: [DisallowRun] 1
   Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
   FF NewTab: Mozilla\Firefox\Profiles\h8a9b28t.default-1542538799684 -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__200116
   Folder: C:\ProgramData\RealtekHD
   Folder: C:\ProgramData\WindowsTask
   Folder: C:\ProgramData\Install
   Folder: C:\Users\John
   Folder: C:\ProgramData\RunDLL
   Folder: C:\ProgramData\System32
   Folder: C:\ProgramData\Setup
   2022-04-24 19:17 - 2022-05-08 23:33 - 000000000 __SHD C:\ProgramData\RealtekHD
   2022-04-24 19:17 - 2022-05-08 23:32 - 000000000 __SHD C:\ProgramData\WindowsTask
   2022-04-24 19:17 - 2022-04-24 19:18 - 000000000 __SHD C:\ProgramData\Install
   2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 __SHD C:\ProgramData\RunDLL
   2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 ____D C:\ProgramData\System32
   Folder: C:\Users\loppener\AppData\Local\GOG.com
   Folder: C:\ProgramData\Parsec
   Folder: C:\ProgramData\GOG.com
   Folder: C:\Users\loppener\AppData\Local\84z0r
   CMD: type C:\Users\loppener\AppData\Roaming\c
   CMD: net user John /active:no
   AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
   FirewallRules: [{F9A72AF0-065F-4B8E-8E75-2A40D5A245DD}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
   FirewallRules: [{A56046A8-8F2D-4042-8058-02060B805FFF}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
   FirewallRules: [{77849308-1400-481C-AFCC-7680FB1B37D5}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
   FirewallRules: [{D6A938D5-2B2B-41DF-9F8D-5DDF23BAAEBF}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
   FirewallRules: [{A2BFD4E8-4325-44B3-AA52-59AD554759D3}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
   FirewallRules: [{D19B5AA9-C196-4A5C-981D-779BB7A508BB}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
   FirewallRules: [{EB93E757-2C25-4513-A5B9-287C3D0D97F7}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
   FirewallRules: [{C536C832-F433-40D3-9F8E-623E71AB3206}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
   FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [UDP Query User{80D4F970-8414-4C6A-BCD8-37FCF6A78C30}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [TCP Query User{454B5165-90EF-45F0-A0B7-852E8C6E2729}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
   FirewallRules: [UDP Query User{63F96FE6-9D4D-415E-A138-436E2AF7DDDF}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
   FirewallRules: [TCP Query User{FE785BD5-3571-4DB6-A972-0E91B9753528}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
   FirewallRules: [{7EB5AEAE-50ED-4C56-B487-6381CAB6DFAC}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
   FirewallRules: [{7D0A43E3-8DAC-488D-940B-FA581104E096}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
   FirewallRules: [{C9F4351C-A3BF-4498-8BD9-F7397F36F281}] => (Allow) D:\Games\Steam\steamapps\common\Just Die Already\JDGame.exe => Нет файла
   FirewallRules: [{4198F492-FECA-484C-8609-17223CC63E70}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
   FirewallRules: [{4BDEB604-A744-4F4F-86CB-F68106497C2A}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
   FirewallRules: [{18CB8647-D128-4F66-95D1-C3034D386598}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
   FirewallRules: [{77D9DAC3-91D6-46CA-BCE0-2C2D0FF49813}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
   FirewallRules: [{93C25D26-83D3-4C73-A4E8-B4C20A560C54}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
   FirewallRules: [{AFE11397-9F34-4DDD-A540-C1370BAA9E98}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
   FirewallRules: [UDP Query User{EAA58A58-7C0C-4EFD-9F52-5601F8D3BE32}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
   FirewallRules: [TCP Query User{AA421F32-06C1-423E-9475-60CC4DB62596}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Удалите учетную запись  John, которую создал майнер

[loppener 1]

Fixlog.txt

8 часов назад, SQ сказал:

Удалите учетную запись  John, которую создал майнер

как его удалить? я не могу найти его на свое компьютере

[thyrex 1353]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
CMD: net user John /delete
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.