Решена Вирус, предположительно майнер

[Alex123785]

В общем, решил я скачать KMSAuto обновлённую, так и подцепил вирус/майнер. В результате сканирования с помощью FRST обнаружил, что появился ещё один Администратор (который запрещает доступ к нескольким приложениям). Сейчас сижу с безопасного режима, ибо даже gpedit.msc закрывается автоматически, не говоря уж о диспетчере. Что и как нужно почистить?

Вот отчёты

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

 

[Alex123785]

Готово

 

[akok]

Вот теперь нужны свежие логи FTST, посмотрим, что осталось.

 

[Alex123785]

Да, пока идёт сканирование, но по всем работающим приложениям, что показывали загруженность ЦП, сайты, можно сказать, что помогло. Сейчас закончится сканирование и скину отчёты

 

[akok]

помогло, только хвосты подчистить

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  HKU\S-1-5-21-845221923-809349878-3001989708-1000\...\Run: [Revolt] => "C:\Program Files\WindowsApps\40345RevoltCommunications.revolt.chat_1.0.6.0_x64__dr6jha9jswqj0\app\Revolt.exe" (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {F75EE72E-69F5-4A4B-8762-ED9AB1912A12} - System32\Tasks\ggYEeSPZN => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-03-11] (Microsoft Windows -> Microsoft Corporation) -> -WindowStyle Hidden -EncodedCommand cwB0AGEAcgB0AC0AcAByAG8AYwBlAHMAcwAgAC0AVwBpAG4AZABvAHcAUwB0AHkAbABlACAASABpAGQAZABlAG4AIABnAHAAdQBwAGQAYQB0AGUALgBlAHgAZQAgAC8AZgBvAHIAYwBlAA== <==== ВНИМАНИЕ
  Task: {17BB3E76-1B2F-48DB-87AE-97F506EC93C0} - System32\Tasks\Microsoft\Windows\GlobalDataX\RecoveryHosts => C:\ProgramData\Microsoft\DRM\51wKmZWGx\GlobalDataX.bat  (Нет файла) <==== ВНИМАНИЕ
  2025-01-21 19:34 - 2025-01-21 19:59 - 000000000 __SHD C:\ProgramData\360Quarant
  AlternateDataStreams: C:\ProgramData\KMSAutoS.rarr:420143A1FC [5170]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk:27CED3D9D4 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2022.lnk:C56174E6CE [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2019.lnk:6569B2479D [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rainmeter.lnk:1219A9EFD8 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2019.lnk:7A8AE192A6 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Активация Windows и Office (KMSAuto Net activation).lnk:662C9595A3 [5170]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Обновления Windows - включить.lnk:B9ECAEF894 [2594]
  AlternateDataStreams: C:\Users\DFoxic\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\DFoxic\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\DFoxic\AppData\Local\Microsoft:ISBD [32]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10158]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  cmd: netsh advfirewall reset
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Alex123785]

Готово

 

[akok]

Чистим исключения антивируса скриптом FRST и шабаш

Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe"
EndPowershell:
End::

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

 

[Alex123785]

Выполнил всё. Видно, что следует обновить, но для меня это, не особо критично, вроде как
Спасибо!

 

[akok]

Исправьте по возможности и удачи


--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.47.1 Внимание! Скачать обновления
LibreOffice 7.5.1.2 v.7.5.1.2 Внимание! Скачать обновления
Geeks3D FurMark 1.34.0.0 v.1.34.0.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.00 beta v.18.00 beta Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
WinRAR 5.50 (32-разрядная) v.5.50.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
GIMP 2.10.34 v.2.10.34 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9007 Внимание! Скачать обновления
Zoom v.5.14.8 (16213) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.2.35702 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^