В работе Подхвачен вирус маскирующийся под AVbr

[Asteikot]

Доброй ночи уважаемые. Сегодня обнаружил две скрытые папки AutoLogger и AV_block_remover. При попытке удалить выдало ошибку. Попытка поиска в гугле просто закрывало браузер. Запуск диспетчера задач тоже заканчивался тем же. Запустил Dr.Web 12 Scanner нашел вирусы, удалил. Гугл и диспетчер начали запускаться без проблем. Немного погуглил и выяснил, что это остатки программы AVbr, но я её не запускал. Скачал программу AVbr и при попытке запуска выдало
Но моя учетная запись и так администратор. И папки AutoLogger и AV_block_remover так и не удаляются выдавая мне такое

Операционная система Win10, пк домашний
Далее скачав программу AutoLogger и попытке распаковать в проводнике выдало

Ладно, получилось через тотал. Логи прикрепил

 

[Asteikot]

Сори. логи я понял отдельно

 

[Severnyj]

Скачайте AV block remover или с зеркала.
Сохраните утилиту только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads), запустите и следуйте инструкциям.
Если не запускается, запустите её в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

 

[akok]

Это не совсем маскировка, это попытка блокировать работу утилит.

 

[Asteikot]

Это не совсем маскировка, это попытка блокировать работу утилит.

День добрый. Возможно, утверждать не буду. Утилита AV block remover запустилась без проблем, после перезагрузки пк скрытые папки AutoLogger и AV_block_remover пропали, что уже порадовало. С папки AV_block_remover кроме лога надо загружать еще что-то?

Логи работы утилит

 

[Severnyj]

Отправьте архив quarantine.zip из папки E:\block\AV_block_remover\ с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению прикреплять файл quarantine.zip не нужно!


Пофиксите в HJT (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7272.0{94A1EB3B-C08D-48BE-93CE-AAFADC15D457} - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --wake --system (sign: 'Google LLC')
O22 - Tasks: \Microsoft\Windows\DataBaseM\RecoveryHosts - C:\ProgramData\Microsoft\MapData\aammW7N\DataBaseM.bat (file missing)
O23 - Service S2: Внутренний сервис Google Updater (GoogleUpdaterInternalService140.0.7272.0) - (GoogleUpdaterInternalService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update-internal (sign: 'Google LLC')
O23 - Service S2: Сервис Google Updater (GoogleUpdaterService140.0.7272.0) - (GoogleUpdaterService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update (sign: 'Google LLC')
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
• Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[Asteikot]

Сделал всё строго по инструкции.

 

[akok]

в карантине
VirusTotal по пути C:\ProgramData\Microsoft\win.exe
VirusTotal по пути C:\ProgramData\WindowsTask\WinRing0x64.sys

 

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-1681217289-568400224-4294789270-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
2025-07-09 00:35 - 2025-07-09 00:35 - 000000000 ___SH C:\ProgramData\tg.txt
2025-07-09 00:35 - 2025-07-09 00:35 - 000000000 ___SH C:\ProgramData\temp.txt
2025-07-08 18:28 - 2025-07-08 18:28 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

[Asteikot]

Все шаги выполнены по инструкции

 

[Severnyj]

Сообщите, что с проблемой?

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

 

[Asteikot]

Отчёт проделанной работы. Скрытые папки AutoLogger и AV_block_remover удалены и нигде не вижу их больше. Браузеры работают в штатном режиме и не закрываются, при поиске слов "AutoLogger" и подобных не приводит к закрытию браузера. Диспетчер задач работает в штатном режиме и не закрывается при переходе на службы и другие вкладки. Добавилось свободного пространства на диске "С". Даже виндовс обновился, а то я думал уже закончились обновления. Смутило содержимое папки c:\Windows\System32\drivers\etc\ и этот файл hosts.rollback удалить не получается. А в остальном как будто норм


Проблемный файл hosts.rollback удалил, когда закрыл программу hostsman-portable.exe