Перейти к содержанию

[РЕШЕНО] вирус(троян?) блокирует запуск установки винды, скрыл автозагрузки, подмена крипто кошельков


Рекомендуемые сообщения

случилось это примерно 2 недели назад, я что-то скачал, не помню что и началось это. у меня не устанавливался ни один антивирус, вирус их закрывал. файл хостс тоже был переполнен блокировками против сайтов. я еле-еле установил антивирус Malwarebytes и drweb и вроде почистил все, но с каждым запуском компа файлы вируса появляются, а удалить я их не могу, тк восстанавливаются при перезапуска. автозагрузка в диспетчере задач тоже не работает, пишет что нет элементов. сегодня хотел переустановить виндоус, но файл просто закрывается и ничего не происходит. не знаю что делать. при том заметил что криптокошельки которые скопировал меняются на неизвестный мне кошелек, я понял что у меня в компе сидит куча троянов которые мешают жить и скорее всего воруют мои денные. помогите пожалуйста! 

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты

автологер тоже похоже закрывается после того как открывается мозила и интернет эксплорер

HiJackThis.loginfo.txtвот что есть

 

log.txt Check_Browsers_LNK.log

 

image.thumb.png.9f8f92b014be7d3fc29c2be297c68df0.pngэти файлы постоянно включаются при перезапуска компьютера, даже если их удалить

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.

Распакуйте, запустите и следуйте инструкциям.
P.S. переименцуйте файл  AVbr.exe например на test.exe, если он не запуститься.
 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe

так как он запрещен в политике безопасности вашего компьютера.
 

После перезагрузки системы соберите новый CollectionLog Автологером.

 

 

Ссылка на сообщение
Поделиться на другие сайты

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

Ссылка на сообщение
Поделиться на другие сайты

image.thumb.png.8734a7c73192b781eee1c59f752664df.pngя про этот файл(taskhostw), он закрывается, его тоже пробовал переименовать

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
13 minutes ago, loppener said:

когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается

 

 

Здравствуйте,

 

У Вас похоже майнер который блокируют доступ к антивирусным продуктам.

Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr - это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.

Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, "пропал" установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.

Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe

В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove.log - лог работы утилиты.
- quarantine.zip - стандартный архив AVZ с карантином удалённых файлов.
- Backup - папка с резервной копией некоторых настроек, изменённых в ходе лечения.

Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись "John", которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в "Помощь в удалении вредоносного ПО" выполнив правила оформления запроса.

Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева - AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.


После того как пролечитесь им соберите свежие логи по правилам.

Ссылка на сообщение
Поделиться на другие сайты

я же сказал, эта программа закрывается сразу же как запускается. Даже если поменять ее название или выключить интернет. Может надо попробовать через безопасный режим? image.thumb.png.eaeec778596ab0f6f7a10d42eb3c42b7.png
 

Ссылка на сообщение
Поделиться на другие сайты

Если речь идет об утилите AVbr.exe (она использует оболочку утилиты AVZ.exe), то все ок.

image.thumb.png.8734a7c73192b781eee1c59f752664df.png
Если вы его один раз запустили, то не нужно запускать еще раз. Программа удаляет все вредоносные объекты касаемого указанного майнера, затем он автоматически закрывается сам.

Приложите новый лог CollectionLog Автологером.

Ссылка на сообщение
Поделиться на другие сайты

если вы говорите автоматически. То закрытие происходит на моменте когда открываются два браузера. Мне кажется автологгер не выполняется до конца, тк архив не создается и вирус просто выключает программу. вот что в итоге image.thumb.png.a4e9efffa72e9f0061a0d9f3034a5ff4.png

 

report2.log

HiJackThis.log результаты программы HiJackThis. начальные буквы это произошло когда у меня был запущен AVZ. на момент когда он закрылся в этот момент открылся лог файл - эти символы были внесены автоматически.

Ссылка на сообщение
Поделиться на другие сайты


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = cureit.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: \Microsoft\Windows\Wininet\RealtekMO - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\RealtekOnLogon - C:\Programdata\RealtekHD\taskhost.exe
O22 - Task: \Microsoft\Windows\Wininet\TaskhostMO - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\TaskhostOnlogon - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты

Результат программы Farbar Recovery Scan Tool 

Addition.txt FRST.txt

 

Результат программы AutoLogger. (Он у меня стал работать после того как удалил 22 строчки, которые вы сказали.)

CollectionLog-2022.05.09-00.09.zip

И еще вопрос, не работает вкладка автозагрузок. Как ее можно починить? 

image.png

Изменено пользователем loppener
Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKU\S-1-5-21-4050040090-1404827006-1183686162-1001\...\Policies\Explorer: [DisallowRun] 1
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    FF NewTab: Mozilla\Firefox\Profiles\h8a9b28t.default-1542538799684 -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10420__200116
    Folder: C:\ProgramData\RealtekHD
    Folder: C:\ProgramData\WindowsTask
    Folder: C:\ProgramData\Install
    Folder: C:\Users\John
    Folder: C:\ProgramData\RunDLL
    Folder: C:\ProgramData\System32
    Folder: C:\ProgramData\Setup
    2022-04-24 19:17 - 2022-05-08 23:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-04-24 19:17 - 2022-05-08 23:32 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-04-24 19:17 - 2022-04-24 19:18 - 000000000 __SHD C:\ProgramData\Install
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-04-24 19:17 - 2022-04-24 19:17 - 000000000 ____D C:\ProgramData\System32
    Folder: C:\Users\loppener\AppData\Local\GOG.com
    Folder: C:\ProgramData\Parsec
    Folder: C:\ProgramData\GOG.com
    Folder: C:\Users\loppener\AppData\Local\84z0r
    CMD: type C:\Users\loppener\AppData\Roaming\c
    CMD: net user John /active:no
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
    FirewallRules: [{F9A72AF0-065F-4B8E-8E75-2A40D5A245DD}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{A56046A8-8F2D-4042-8058-02060B805FFF}] => (Allow) D:\Games\Steam\steamapps\common\Portal 2\portal2.exe => Нет файла
    FirewallRules: [{77849308-1400-481C-AFCC-7680FB1B37D5}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{D6A938D5-2B2B-41DF-9F8D-5DDF23BAAEBF}] => (Allow) D:\Games\Steam\steamapps\common\Brawlhalla\Brawlhalla.exe => Нет файла
    FirewallRules: [{A2BFD4E8-4325-44B3-AA52-59AD554759D3}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{D19B5AA9-C196-4A5C-981D-779BB7A508BB}] => (Allow) D:\Games\Steam\steamapps\common\Portal\hl2.exe => Нет файла
    FirewallRules: [{EB93E757-2C25-4513-A5B9-287C3D0D97F7}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{C536C832-F433-40D3-9F8E-623E71AB3206}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life 2\hl2.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{AB25CA88-6798-4E9E-8778-101911CFD37E}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [{7201AD9F-3189-469F-8575-4FDF49978033}] => (Block) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{80D4F970-8414-4C6A-BCD8-37FCF6A78C30}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [TCP Query User{454B5165-90EF-45F0-A0B7-852E8C6E2729}C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe] => (Allow) C:\users\loppener\appdata\local\faceit\app-1.31.5\faceit.exe => Нет файла
    FirewallRules: [UDP Query User{63F96FE6-9D4D-415E-A138-436E2AF7DDDF}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [TCP Query User{FE785BD5-3571-4DB6-A972-0E91B9753528}D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) D:\games\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
    FirewallRules: [{7EB5AEAE-50ED-4C56-B487-6381CAB6DFAC}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{7D0A43E3-8DAC-488D-940B-FA581104E096}] => (Allow) D:\Games\Steam\steamapps\common\Paladins\Binaries\Win64\PaladinsEAC.exe => Нет файла
    FirewallRules: [{C9F4351C-A3BF-4498-8BD9-F7397F36F281}] => (Allow) D:\Games\Steam\steamapps\common\Just Die Already\JDGame.exe => Нет файла
    FirewallRules: [{4198F492-FECA-484C-8609-17223CC63E70}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{4BDEB604-A744-4F4F-86CB-F68106497C2A}] => (Allow) D:\Games\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
    FirewallRules: [{18CB8647-D128-4F66-95D1-C3034D386598}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{77D9DAC3-91D6-46CA-BCE0-2C2D0FF49813}] => (Allow) D:\Games\Steam\steamapps\common\Half-Life\hl.exe => Нет файла
    FirewallRules: [{93C25D26-83D3-4C73-A4E8-B4C20A560C54}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [{AFE11397-9F34-4DDD-A540-C1370BAA9E98}] => (Block) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [UDP Query User{EAA58A58-7C0C-4EFD-9F52-5601F8D3BE32}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    FirewallRules: [TCP Query User{AA421F32-06C1-423E-9475-60CC4DB62596}D:\games\game\the escapists 2\theescapists2.exe] => (Allow) D:\games\game\the escapists 2\theescapists2.exe => Нет файла
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

Удалите учетную запись  John, которую создал майнер

Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

8 часов назад, SQ сказал:

Удалите учетную запись  John, которую создал майнер

как его удалить? я не могу найти его на свое компьютере

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
CMD: net user John /delete
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • tubizzz
      От tubizzz
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
    • Dmitrij777
      От Dmitrij777
      После загрузки образов и редактора, появилась проблема. Kaspersky Total Security выявил трояна MEM:Trojan.Win32.SEPEH.gen , после сканирования  через Virus Removal Tool выявило ещё два, удаление и лечение не помогло.
      CollectionLog-2024.10.30-19.02.zip
    • Bernardo
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
    • KZMZ
      От KZMZ
      на мой документах стоят не понятный файл который не удаляется
      вот логи с AVZ5 и FRST
      Addition.txt avz_log.txt FRST.txt
    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
×
×
  • Создать...