Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Trojan.Win64.Miner.gen. Антивирус молчит, DNS подменяется

Bruntem

Автор Bruntem
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Bruntem Новичок

Bruntem

Опубликовано
Опубликовано

Подхватил какую-то заразу, которую никак не могу излечит. Проявляется подменой DNS и тем, что перестают запускаться программы. Логи собрал.

Прошу помощи.

 

 

CollectionLog-2022.05.14-18.18.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
 DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
  • 2 недели спустя...
Bruntem Новичок

Bruntem

Опубликовано
  • Автор
Опубликовано

CollectionLog-2022.05.26-12.59.zip

 

Сделал все по инструкции. Новые логи прилагаю. Не могу понять как прислать карантин. Ссылки "Прислать запрошенный карантин" не нахожу.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не исправил шаблон ответа.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

NextDNS сами устанавливали? Если нет, удалите через Установку программ.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [MS Image Processing] => "C:\Users\Артём\AppData\Roaming\ImageShaderProcessing\ImageShaderProcessor.exe" -a (Нет файла)
HKU\S-1-5-21-3715706903-1595938272-3327926379-1001\...\Run: [Services.exe] => C:\Users\12C2~1\AppData\Local\Temp\Services.exe (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {01056975-6582-450D-8800-A5EDBC68039F} - System32\Tasks\MDnxCEZPMtiOeh => rundll32 "C:\Program Files (x86)\bENWNmwFnWdU2\UratkQFDUXpqE.dll",#1
Task: {0489DD9C-38C2-40E6-9D57-7B46F1BEA059} - System32\Tasks\7856757 => C:\ProgramData\dir\V-K_D-J.exe /H (Нет файла)
Task: {067F164D-9C04-4012-BCA8-53EA9C6A5AF4} - System32\Tasks\LxeSkakALxEknyhebqt2 => rundll32 "C:\Program Files (x86)\cBRXZPPQmHftC\ICgnliI.dll",#1
Task: {21CD1041-BAF2-489A-BDF9-ACBB11CDD91F} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXvGPUDisableTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Disable (Нет файла)
Task: {2D2C6481-718E-44B0-9DBD-97C11DE04AF9} - System32\Tasks\TotalAdblockLogonUpdate => C:\Users\Артём\AppData\Local\Programs\TotalAdblock\Updater.exe /SP- /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /NOICONS /NOCANCEL /CHROME=1 (Нет файла)
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Нет файла)
Task: {3C547E2A-D99F-417A-A9AE-A8AE6F77EBCF} - System32\Tasks\xEKwJloQTfgnoiYoK2 => rundll32 "C:\Program Files (x86)\usOulTiLyaDrBMKHgvR\RpMQshD.dll",#1
Task: {47DA352A-335D-4FAE-956E-C8352EC87ABF} - System32\Tasks\ZJxSiKbDUOBoWjBWd2 => rundll32 "C:\Program Files (x86)\rDnJkcuWfSumvnFWdFR\BEcFlYC.dll",#1
Task: {5E7926B8-5779-42F2-8761-6C58BBF50E54} - System32\Tasks\uhpzNVwtILKDJ2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\zDTzrpKaqWrlSUVB\rJRHegk.wsf"
Task: {603DC043-F33C-4C35-BFFB-EF12495C59B4} - System32\Tasks\sNrPHOQwNlnwi2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\DoBKggEwrzSbWlVB\aFbJnIK.wsf"
Task: {720592A8-FE80-4801-B731-A897F403898F} - System32\Tasks\sVGwazUnyVZIUOj2 => rundll32 "C:\Program Files (x86)\lqErRLRHU\iKWzJo.dll",#1
Task: {89A3660D-3355-4C7E-9FD9-027AD85CA8A5} - System32\Tasks\ProactiveScan => C:\Users\Артём\AppData\Roaming\Microsoft\Defragmentation\Optimization.exe /defrag (Нет файла)
Task: {96A10E22-C417-4A0E-B900-F6394AC16103} - System32\Tasks\jWefkAVtchZRPOn2 => rundll32 "C:\Program Files (x86)\pKXEtUIUU\rtQDXq.dll",#1
Task: {b6c2ee84-1488-4def-afac-9b8ec87c6e3e} - отсутствует путь к файлу
Task: {CFD35F73-4063-4D74-AB7C-8350837E9824} - System32\Tasks\ctJGZPMJaVjHsd => rundll32 "C:\Program Files (x86)\hhzIhXxBKgmU2\oinKfWnzZJMoh.dll",#1
Task: {E2D79813-E272-4668-B137-BCA6AC2C8500} - System32\Tasks\KCqfaCnLWxKJsrARfzs2 => rundll32 "C:\Program Files (x86)\kqwFrOsXeejBC\jDOaZlh.dll",#1
Task: {E4685041-3766-4547-B9AB-F03556009DA2} - System32\Tasks\bQuEdkcXZNBrYPHfp => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe 4z /site_id 690689 /S (Нет файла) <==== ВНИМАНИЕ
Task: {E58E11EF-6ED8-4313-942C-BE1136225CCA} - System32\Tasks\ogdRYFQ => C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\ogdRYFQ\ogdRYFQ.dll",ogdRYFQ <==== ВНИМАНИЕ
Task: {E59D1ACB-3515-4BA1-B013-D3C7FE39056D} - System32\Tasks\Microsoft\Windows\termsrv\RemoteFX\RemoteFXWarningTask => C:\WINDOWS\System32\RemoteFXvGPUDisablement.exe Warning (Нет файла)
Task: {FC7A292C-F913-47F3-9756-2D241190E14D} - System32\Tasks\Opera scheduled Autoupdate 1638708148 => C:\Users\Артём\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
Task: C:\WINDOWS\Tasks\bQuEdkcXZNBrYPHfp.job => C:\WINDOWS\Temp\bAYKuVscJgFZuWLK\qVvKMITbFYrbUOC\WmGZJEq.exe
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
C:\Users\Артём\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\gekdekpbfehejjiecgonmgmepbdnaggp
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\Артём\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 AppServicea; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicea; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceb; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicec; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiced; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicee; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicef; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceg; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceh; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicei; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicej; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicek; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicel; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicem; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicen; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceo; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicep; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceq; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicer; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServices; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicet; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServiceu; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicev; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicew; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicex; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\System32\svchost.exe [59952 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AppServicey; C:\WINDOWS\SysWOW64\svchost.exe [49600 2022-03-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 rsClientSvc; C:\Program Files\RAVAntivirus\rsClientSvc.exe [X]
S2 rsEngineSvc; "C:\Program Files\RAVAntivirus\rsEngineSvc.exe" [X]
2022-05-25 10:51 - 2022-05-25 10:51 - 000000000 ____D C:\Program Files\Transmission
FCheck: C:\WINDOWS\SysWOW64\lastpass_1337.exe [2021-01-05] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
HD Compressor 1.4.1.39 (HKLM-x32\...\{a4c6c9cf-1040-4a2e-84f7-10cd533b8314}) (Version: 1.4.1.39 - Orlando e figli SPA) Hidden
snake raise 2.5.1.17 (HKLM-x32\...\{8d2c3090-f76a-4f7b-ada6-77ce072dd4fc}) (Version: 2.5.1.17 - Guerra-Negri Group e figli) Hidden
Total Adblock - Free AdBlocker 1.0.0.0 (HKLM-x32\...\{9dd93ff4-9d73-45a4-9bc4-fe5bfc60b507}) (Version: 1.0.0.0 - TotalAdblock) Hidden
Transmission 3.00 (bb6b5a062e) (x64) (HKLM-x32\...\{B206C51C-27D2-4251-95E2-B4B28DE80633}) (Version: 3.00.0 - Transmission Project)
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [838]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [838]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [838]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [838]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [838]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TM.blf:43A466F9B0 [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000001.regtrans-ms:416ED0AFFA [3314]
AlternateDataStreams: C:\ProgramData\ntuser.dat{38a830be-72e5-11ec-8503-a85e45b9e3c8}.TMContainer00000000000000000002.regtrans-ms:AB59CD52ED [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3314]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NextDNS.lnk:6FC3F924A2 [3314]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
AlternateDataStreams: C:\Users\Артём\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\Application Data:NT [40]
AlternateDataStreams: C:\Users\Артём\Application Data:NT2 [838]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Артём\AppData\Roaming:NT2 [838]
BHO-x32: YoutubeDownloader -> {D851840B-2849-4EE4-9160-B793935F916B} -> C:\Program Files (x86)\TEPukYjbwIE\kdGMPp12z.dll => Нет файла
FirewallRules: [TCP Query User{0715D656-52CD-4CF1-AF15-E398DDCC6BDB}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [UDP Query User{E346C4DC-75F3-4CF2-86E7-F6903A5B39C0}C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe] => (Allow) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{D476F8A8-B5FB-4592-8F81-778778307074}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [{F68AADC1-4EDB-48B7-B89C-61D3DA00128C}] => (Block) C:\program files\windowsapps\microsoft.skypeapp_15.79.95.0_x86__kzf8qxf38zg5c\skype\skype.exe => Нет файла
FirewallRules: [TCP Query User{71E7C547-9D67-4E63-9AC6-D3C6A4082B74}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{BC2B337F-3141-403E-811D-8A9C07F40E55}D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steamlibrary\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{F12D7DA9-E68F-4907-B3F3-DA60C489646F}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [UDP Query User{48A53251-49FA-43C4-8B24-3827411067F8}D:\games\radmir launcher\radmir_launcher.exe] => (Allow) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{51CEDF0E-C419-4963-BB97-09214176F35A}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [{E41AE2C9-C82B-45FC-9675-214AA01E35C5}] => (Block) D:\games\radmir launcher\radmir_launcher.exe => Нет файла
FirewallRules: [TCP Query User{09DFAAD1-AF54-4A82-93FB-3D1EEC553C77}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [UDP Query User{15591380-12E5-484B-82F3-DDAA2E893C19}D:\program files\transmission\transmission-qt.exe] => (Allow) D:\program files\transmission\transmission-qt.exe => Нет файла
FirewallRules: [TCP Query User{E0FAFE47-E276-4C42-9249-B608FD68B727}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [UDP Query User{962E6716-8A69-4B55-B977-E86D5D545EC0}D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe] => (Allow) D:\steamlibrary\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [TCP Query User{ECC7F4C6-633F-4299-A874-8A813C1CAB81}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{D7D33B86-0480-4911-9C34-7A51D8DD89C3}D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe] => (Allow) D:\steamlibrary\steamapps\common\world of tanks\ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{187D077F-5260-462E-9529-8AEE5355E3AF}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{C98281AA-9E39-47CE-AF3D-EC835A566F94}] => (Allow) D:\SteamLibrary\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{3E810BAB-4F7C-4307-BA64-CCBFB3F1EB90}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{833FAB1D-130B-480E-8CC2-F49B84DA9389}] => (Allow) D:\SteamLibrary\steamapps\common\Brick Rigs\BrickRigs.exe => Нет файла
FirewallRules: [{24D45D7F-757E-4AEC-96E1-808EE6C43879}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{D464B3F3-8F33-4315-8B52-141FB91BD067}] => (Allow) D:\SteamLibrary\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта

Цитата

HD Compressor 1.4.1.39
snake raise 2.5.1.17
Total Adblock - Free AdBlocker 1.0.0.0
Transmission 3.00
Word
YoutubeDownloader
Кнопка "Яндекс" на панели задач

удалите через Установку программ или принудительно с помощью Geek Uninstaller

Ссылка на комментарий
Поделиться на другие сайты
Bruntem Новичок

Bruntem

Опубликовано
  • Автор
Опубликовано

Похоже, что проблема ушла. По крайней мере DNS стоит правильный и не менялся. Все программы запускаются.

 

Большое спасибо за помощь!

Можете подсказать, почему его не ловил антивирус?

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ольга Кот
      [РЕШЕНО] Trojan.Win64.Miner.gen, MEM:Backdoor.Win32.Insistent.gen
      Автор Ольга Кот
      Здравствуйте!
      Антивирус выявил вредоносные приложения (скрин прилагаю). Trojan и MEM:Backdoor.Win32.Insistent.gen.  Всегда ссылается на файл svchost.exe и еще может подтянуть другие. "Лечение с перезагрузкой" не помогает, пробовали руками удалять папки, но после перезагрузки все восстанавливается. Скорее всего подцепили эту заразу в 24.06 - 27.06, ноутбук периодически стал шуметь в спящем режиме и греться, майнингом не занимаемся. Просим оказать содействие в решении этих проблем. Скачала сразу программу для логов, прилагаю файл.

      CollectionLog-2025.07.01-15.08.zip
    • sencity72
      [РЕШЕНО] Вирус подменяет диспетчер задач - антивирусы не помогают.
      Автор sencity72
      Вирус подменяет диспетчер задач - при открытии видно нагрузка ЦП, спустя секунду диспетчер задач превращется в статичную картинку с меньшими показателями нагрузки - антивирусы не помогают.
      CollectionLog-2025.06.16-08.28.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
    • Ян Том
      [РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
    • KL FC Bot
      Defendnot отключает встроенный антивирус
      Автор KL FC Bot
      Многие современные компании поддерживают политику BYOD (Bring Your Own Device) — то есть разрешают сотрудникам использовать собственные устройства для служебных нужд. Особенно эта практика распространена в организациях, приветствующих удаленный формат работы. У BYOD есть масса очевидных преимуществ, однако внедрение подобной политики создает новые риски для кибербезопасности компании.
      Для предотвращения угроз ИБ-отделы часто выдвигают требование наличия защитного решения в качестве обязательного условия для использования собственного устройства для работы. В то же время некоторые сотрудники — особенно продвинутые и уверенные в себе технические специалисты — могут считать, что антивирус вряд ли может быть полезен и, скорее всего, будет усложнять им жизнь.
      Это не самое разумное мнение, но переубедить таких людей может быть не так уж просто. Главная проблема состоит в том, что уверенные в своей правоте сотрудники могут найти способ обмануть систему. Сегодня в рамках рубрики «Предупрежден — значит вооружен» мы расскажем об одном из них: о новом исследовательском проекте под названием Defendnot, который позволяет отключать Microsoft Defender на устройствах с Windows, регистрируя фальшивый антивирус.
      Как эксперимент с no-defender показал, что Microsoft Defender можно отключить с помощью поддельного антивируса
      Чтобы разобраться в том, как работает Defendnot, нам придется перенестись на год назад. Тогда исследователь с Twitter-ником es3n1n, который является автором этого инструмента, опубликовал первую версию проекта на GitHub. Он назывался no-defender, и его задачей также являлось отключение встроенного антивируса Windows Defender.
      Для выполнения этой задачи es3n1n эксплуатировал специальный программный интерфейс Windows под названием WSC API (Windows Security Center — Центр безопасности Windows). Через него антивирусное ПО сообщает системе о том, что оно установлено и берет на себя защиту устройства в режиме реального времени. Получив такое сообщение, Windows автоматически отключает Microsoft Defender, чтобы избежать конфликтов при одновременной работе нескольких защитных решений на одном устройстве.
      На основе кода существующего защитного решения исследователь смог создать свой поддельный «антивирус», который регистрировался в системе и проходил все проверки Windows. После этого Microsoft Defender отключался, а устройство оставалось незащищенным, поскольку no-defender на практике не имел никаких защитных функций.
      Проект no-defender достаточно быстро набрал популярность на GitHub и успел получить 2 тысячи звезд от благодарных пользователей. Однако компания-разработчик антивируса, чей код использовал исследователь, отправила на него жалобу о нарушении Закона об авторском праве в цифровую эпоху (DMCA). Поэтому es3n1n удалил код проекта из GitHub, оставив только страничку с описанием.
       
      View the full article
×
×
  • Создать...