Подозрение на заражение

1) Не открывал этот сайт и не знаю это приложение
[URL]https://postimg.cc/r02StybY[/URL]

Полную проверку сделать пока не было время

2) Словил 2 BSOD

Уважаемый(ая) [B]PCUser[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Похоже, Dr. Web справился.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MSConfig\startupreg: tvncontrol [command] = D:\TightVNC\tvnserver.exe -controlservice -slave (HKLM) (2019/09/12) (file missing)[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Только что DrWeb обезвредил

"Объект";"Угроза";"Действие";"Путь";
"adl.exe";"DPH:Trojan.ExecExploit";"Перемещено";"C:\Windows\adl.exe";

Чуть раньше (10:42) это же файл был помещен Drweb в карантин
Логи:

Пока писал сообщение заблокирована попытка выполнения подозрительного кода
процессом c:\Windows\System32\cmd.exe
PID 4572 и 4444

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => [X]
S4 AviraProtect3; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S4 AviraProtect3; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 AmmyyAdmin_EC0; "D:\AA_v35\AA_v3.exe" -service -lunch [X]
S3 46e2183c695fc091; \??\C:\Windows\TEMP\2ce24f2.sys [X]
S3 46e28b6e6ebde6f2; \??\C:\Windows\TEMP\26ef2cc.sys [X]
S3 46e29ea2afb3fc72; \??\C:\Windows\TEMP\28cedf5.sys [X]
S3 46e2b7f563ff7cf2; \??\C:\Windows\TEMP\26e84ab.sys [X]
S3 f3179ac904558e2c; \??\C:\Windows\TEMP\216a65a.sys [X]
023-04-25 20:46 - 2017-05-06 16:42 - 851661349 _____ C:\Windows\MEMORY.DMP
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{62634D95-960B-4834-8E71-A70408AD8FD9}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.7\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{86508D42-E5D7-4D10-9C6F-D427AEEB85B5}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.34.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.101\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.82\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{CA919489-0396-4164-A6E7-94CDED45A707}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll (Google LLC -> Google LLC)
CustomCLSID: HKU\S-1-5-21-2623668105-966713461-588052065-1000_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\Dmitriy\AppData\Local\Google\Update\1.3.35.452\psuser_64.dll => Нет файла
ContextMenuHandlers4: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла
ContextMenuHandlers5: [chext] -> {E7A4C2DA-F3AF-4145-AC19-E3B215306A54} => C:\Users\Dmitriy\Downloads\ch-portable-1.46\64bit\chext64.dll -> Нет файла
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:DocumentSummaryInformation [63]
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:SummaryInformation [63]
AlternateDataStreams: C:\Windows\SysWOW64\zlib.dll:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Еще один Crash

[SPOILER]
Version=1
EventType=BlueScreen
EventTime=133269746518428182
ReportType=4
Consent=1
ReportIdentifier=1900a212-e414-11ed-8102-ef41e634fdb5
IntegratorReportIdentifier=042623-6739-01
Response.type=4
DynamicSig[1].Name=Версия ОС
DynamicSig[1].Value=6.1.7601.2.1.0.256.48
DynamicSig[2].Name=Код языка
DynamicSig[2].Value=1049
UI[2]=C:\Windows\system32\wer.dll
UI[3]=Windows восстановлена после непредвиденного завершения работы
UI[4]=При следующем подключении к Интернету Windows может провести поиск способа устранения этой ошибки.
UI[5]=Выполнить &поиск решений
UI[6]=Отло&жить поиск решений
UI[7]=Отмена
UI[8]=Windows восстановлена после непредвиденного завершения работы
UI[9]=Из-за неполадки Windows работает неправильно. Windows сообщит вам, если будет найден способ устранения этой ошибки.
UI[10]=Закрыть
Sec[0].Key=BCCode
Sec[0].Value=50
Sec[1].Key=BCP1
Sec[1].Value=FFFFFA800C633000
Sec[2].Key=BCP2
Sec[2].Value=0000000000000001
Sec[3].Key=BCP3
Sec[3].Value=FFFFF8800869B585
Sec[4].Key=BCP4
Sec[4].Value=0000000000000000
Sec[5].Key=OS Version
Sec[5].Value=6_1_7601
Sec[6].Key=Service Pack
Sec[6].Value=1_0
Sec[7].Key=Product
Sec[7].Value=256_1
File[0].CabName=042623-6739-01.dmp
File[0].Path=042623-6739-01.dmp
File[0].Flags=589826
File[0].Type=2
File[0].Original.Path=C:\Windows\Minidump\042623-6739-01.dmp
File[1].CabName=sysdata.xml
File[1].Path=WER-8689-0.sysdata.xml
File[1].Flags=589826
File[1].Type=5
File[1].Original.Path=C:\Users\Dmitriy\AppData\Local\Temp\WER-8689-0.sysdata.xml
File[2].CabName=Report.cab
File[2].Path=Report.cab
File[2].Flags=196608
File[2].Type=7
File[2].Original.Path=Report.cab
FriendlyEventName=Непредвиденное завершение работы
ConsentKey=BlueScreen
AppName=Windows
AppPath=C:\Windows\System32\WerFault.exe
[/SPOILER]
Drweb

Сейчас получил
"Объект";"Угроза";"Действие";"Путь";
"mssecsvc.exe";"Trojan.Encoder.11432";"Перемещено";"C:\Windows\mssecsvc.exe";

Fixlog.txt больше чем 483Кб: [url]https://disk.yandex.ru/d/oJhvpVFNqyV9XQ[/url]

Систему долбят через уязвимости, которые закрыты MS ещё 6 лет назад, когда были массовые атаки шифровальщика WannaCry:[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]
Устанавливайте в первую очередь KB4012212 по ссылке, закроет именно эту дыру. Затем ]систему крайне желательно обновить по полной, через автоматическое обновление, или проще и быстрее - с помощью [URL="https://www.drwindows.de/xf/threads/windows-7-update-pack-by-drwindows-januar-2023.15232/"]Windows 7 Update Pack by DrWindows[/URL]. Если система, как в вашем случае, не обновлялась давно, могут быть проблемы при и после установки патчей, так что, хотя бы из списка установите, самые критичные.
Проверьте сеть утилитой [URL="https://disk.yandex.ru/d/PYik8tXhmir_ng"]ETERNAL BLUES[/URL], все найденные компьютеры с уязвимостью также надо обновлять.

Кстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.

Ну, и по мелочам (относительно главной проблемы):
[QUOTE]Брандмауэр Windows (MpsSvc) - Служба остановлена
Java 8 Update 121 (64-bit) v.8.0.1210.13 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^[/b][/color]
Java SE Development Kit 8 Update 121 (64-bit) v.8.0.1210.13 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=https://www.oracle.com/java/technologies/downloads/#java20]Java SE Development Kit[/url] (jdk-20_windows-x64_bin.exe)[/b].
Adobe Flash Player 11 Plugin v.11.1.102.55 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.433 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Reader 8.1.2 v.8.1.2 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Acrobat Reader DC[/url][/b].
Google Chrome v.96.0.4664.110 [color=red][b]Внимание! [url=https://www.google.ru/intl/ru/chrome/update/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О браузере Google Chrome!^[/b][/color]
Mozilla Firefox 56.0 (x64 ru) v.56.0 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color][/QUOTE]

Пока KB4012212 установил. Ждем развития
Других ПК в сети нет

[QUOTE]Кстати, у вас зачем-то открыты и проброшены в локальную сеть на маршрутизаторе порты 445/tcp, 135/tcp - через них и атакуют снаружи. Закройте доступ, ещё и по портам 49158, 49153, 49155, 49154, 49152 tcp - это Microsoft Windows RPC, тоже могут быть использованы в атаках.
[/QUOTE]
Как закрыть? Не помню чтобы сам менял стандартные настройки роутера
На роутере раздавал интернет на ПК, wi-Fi и android приставку

[QUOTE=PCUser;1527755]Как закрыть? Не помню чтобы сам менял стандартные настройки роутера
На роутере раздавал интернет на ПК, wi-Fi и android приставку[/QUOTE]

Проверяйте все настройки, или сбросьте их и настройте с нуля. И прошивку обновите по возможности.

Пока новых крашей и вирусов не было. Тему можно закрывать.
Спасибо!

В завершение: переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.