Решена Троян John, или все таки вирус

[NorLuckyStar]

Здравствуйте. После обновление процессора на более мощный, получилось так что поймал вирус. А заметил его так что, в режиме простоя у меня нагревался процессор до 86 градусов, а при включение диспетчера задач(который собственно закрывался через 2-3 минуты, а после 20 попыток вообще сразу закрывался), все понижалось снова до 40 градусов.
Начал я искать проблему в интернете на телефоне, т.к. на ПК у меня сразу выкидывало с браузера. Нашел решение с помощью AVB.exe , типо он сможет почистить от майнера компьютер. Но мне хотелось бы удоствериться в решение 100%, что вирус удален, и его "родственников" ни где у меня не осталось.
Лог с АВБ прилагаю, и после АВБ сделал сразу проверка с помощью AutoLogger.

 

[Sandor]

Здравствуйте!

Извините, упустили вашу тему.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\CertificateServicesClient\CertificateServicesClient');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[NorLuckyStar]

@Sandor, Готово, надеюсь на хорошие решение

 

[Sandor]

В целом, уже неплохо смотрятся логи. Но давайте посмотрим дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[NorLuckyStar]

@Sandor, готово

В целом, уже неплохо смотрятся логи. Но давайте посмотрим дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1182288753-3409226251-985085205-1001\...\MountPoints2: {d16f8853-c11e-11ed-ad63-d8bbc16dcb96} - "G:\O16Setup.EXE" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {272E53AE-DE8C-4D34-8C01-0D7CC3BF698A} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {DBDA1B6F-3361-4EBE-B611-BDDD1638C21F} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-1182288753-3409226251-985085205-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[NorLuckyStar]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1182288753-3409226251-985085205-1001\...\MountPoints2: {d16f8853-c11e-11ed-ad63-d8bbc16dcb96} - "G:\O16Setup.EXE"
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {272E53AE-DE8C-4D34-8C01-0D7CC3BF698A} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {DBDA1B6F-3361-4EBE-B611-BDDD1638C21F} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-1182288753-3409226251-985085205-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

@Sandor, сделал и отправил

 

[Sandor]

Отлично, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[NorLuckyStar]

Отлично, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

@Sandor,Выполнил. Подскажите пожалуйста, какой антивирусник можно еще поставить, чтобы предотвратить дальнейшие такие же заражения?

 

[Sandor]

Кроме антивируса нужно ещё обратить внимание на это:

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.6.1 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Links version 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

После обновление процессора на более мощный, получилось так что поймал вирус.

Всё-таки предположу, что не после замены процессора, а после установки некоего репака или активатора, скачанного с торрента.

Антивирус рекомендую Касперского. Или на ваш выбор, можно и бесплатную версию.

Соблюдайте также Рекомендации после удаления вредоносного ПО

 

[NorLuckyStar]

Кроме антивируса нужно ещё обратить внимание на это:

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.6.1 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
Links version 1.0 v.1.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!



Всё-таки предположу, что не после замены процессора, а после установки некоего репака или активатора, скачанного с торрента.

Антивирус рекомендую Касперского. Или на ваш выбор, можно и бесплатную версию.

Соблюдайте также Рекомендации после удаления вредоносного ПО

@Sandor, Спасибо за вашу помощь, надеюсь вирус исчезнет на долгое время. Links пока удалил через панель управления, надеюсь поможет. Насчёт повышение прав, когда я ввёл через Win+R, у меня стояло на максимум контроль, почему написано что отключён не понятно.

 

[Sandor]

почему написано что отключён не понятно

Ближе к вечеру будет комментарий.

 

[Severnyj]

Добрый вечер. Ссылки по теме:

Контроль учетных записей пользователей Администратор режим утверждения для встроенной учетной записи администратора (Windows 10)

Рекомендации, рекомендации по безопасности и многое другое для параметра политики, контроля учетных записей пользователей Администратор режим утверждения для встроенной учетной записи администратора.

learn.microsoft.com

Контроль учетных записей: обнаружение установок приложений и запрос на повышение прав (Windows 10)

Ознакомьтесь с рекомендациями и многое другое для параметра политики безопасности, контроль учетных записей пользователей Обнаружение установок приложений и запрос на повышение прав.

learn.microsoft.com

Кратко - Все элементы панели управления - Администрирование - Локальная политика безопасности - Локальные политики - Параметры безопасности - Контроль учетных записей: поведение запроса на повышение прав для администраторов и второй пункт для обычных пользователей должны быть включены