Решена Вылечил вирус (возможно John), но хочу точно убедиться

Статус
В этой теме нельзя размещать новые ответы.
L

lozmerc

Новый пользователь
Сообщения
15
Реакции
1
Около месяца тревожила шумная работа ноута (но температуры были нормальными, даже при нагрузке не грелся). Решил сделать автономную проверку майкрософт дефендером, после чего столкнулся с уведомлением "Ваш ИТ-администратор имеет ограниченный доступ к областям этого приложения" При попытке открыть gpedit он сразу же закрывался. После нашёл данный форум и столкнулся с закрыванием браузера при попытке зайти в тему "помощь в удалении вирусов". Создание лога AVZ не получалось. Помог только перевод в безопасный режим и запуск AVBR (avbr.exe не запускался пока я не поменял его название на произвольное). После этих действий проверил всё AVZ и полным и автономным сканированием майкрософт дефендера, они не нашли угроз. Но хочуу быть точно уверен, что всё чисто.
 

Вложения

  • CollectionLog-2022.11.07-14.35.zip
    90.6 KB · Просмотры: 8
Возможно понадобится
 

Вложения

  • Addition.txt
    349.4 KB · Просмотры: 4
  • FRST.txt
    51.9 KB · Просмотры: 4
вот после запуска без безопасного режима:
 

Вложения

  • AV_block_remove_2022.11.07-12.04.log
    4.7 KB · Просмотры: 1
Код: 
C:\Windows\System32\drivers\etc\hosts.ics
Этот файл прикрепите к сообщению.

Профиксите в HijackThis
Код: 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://securesearch.org/homepage?hp=2&pId=BT170902&iDate=2020-12-02 04:57:49&iid=66bc563b-498d-4607-a8f6-f5017cdc9a77&bName=
O4 - HKCU\..\StartupApproved\Run: [xwidget] = E:\steam\steamapps\common\XWidget\XWidget.exe (file missing) (2022/08/10)
O9 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: (no name) - (no file)
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: (disabled) GOOGLEUPDATETASKMACHINEQC - C:\Program Files\Google\Chrome\updater.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackgroundUploadTask - {59B9640B-3F70-4D1C-B159-F26EEB8A4C87} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\NetworkStateChangeTask - {A4173A49-F373-4475-9A0F-2D615204DC20} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\WaaSMedic\PerformRemediation - {72566E27-1ABB-4EB3-B4F0-EB431CB1CB32},None - (no file)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.


соберите потом свежие логи Автологером.
 
www.mediafire.com

virusinfo_auto_LIFE-BREAKER

MediaFire is a simple to use free service that lets you put all your photos, documents, music, and video in a single place so you can access them anywhere and share them everywhere.
www.mediafire.com
 

Вложения

  • hosts.zip
    474 байт · Просмотры: 6
  • CollectionLog-2022.11.07-20.27.zip
    96.9 KB · Просмотры: 5
Удалите старые и соберите новые логи FRST.txt и Addition.txt
 
Прикрепляю
 

Вложения

  • Addition.txt
    334.9 KB · Просмотры: 5
  • FRST.txt
    49 KB · Просмотры: 5
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
AlternateDataStreams: C:\Users\Mamina_Busya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Mamina_Busya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
cmd: ECHO Y|CHKDSK C: /F
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Выполнение скрипта может занять длительное время, дождитесь окончания.
Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущено исправление возможных ошибок диска, не прерывайте.

Подробнее читайте в этом руководстве.
 
Отлично!
В завершение и на будущее:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прикрепляю
 

Вложения

  • SecurityCheck.txt
    13.4 KB · Просмотры: 5
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.00 (x64) v.22.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.12969 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.4 v.4.4.4 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.94.872.g7a9200fe Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Adobe AIR v.32.0.0.116 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.05 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player v.5.2.0f3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
CCleaner Update Helper v.1.8.1208.2 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО
 
Появилась данная проблема, до действий выше её не было, можно как-то пофиксить?
 

Вложения

  • 1668283439212.png
    1668283439212.png
    14.9 KB · Просмотры: 48
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу