Perfect Virus ver 4

Здравствуйте.

При старте системы браузер открывается с какой-то рандомной (рекламной?) страницей + буквально сегодня начал запускаться какой-то процесс windows host, который грузит проц + не запускаются антивирусы + закрывается диспетчер задач и браузер с открытыми вкладками сайтов для лечения вирусов.

Уважаемый(ая) [B]HeroicTimes[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C343F157-4D26-48EB-8474-CD6FDED00525} - \VIDOCKIY (no xml)[/code]
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/ZZNRdX"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.

Done!

Основная проблема (майнер) решена, остатки дочистим.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Есть

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
Systemrestore: On
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKU\S-1-5-21-67642030-1770208674-3428127106-1000\...\Run: [VIDOCKIY] => cmd.exe /c start www.exinariuminix.info (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-67642030-1770208674-3428127106-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ekmeppjgajofkpiofbebgcbohbmfldaf]
CHR HKLM-x32\...\Chrome\Extension: [ekmeppjgajofkpiofbebgcbohbmfldaf]
2024-05-16 06:45 - 2016-05-22 22:29 - 000000000 ____D C:\Program Files (x86)\IObit
C:\Users\VIDOCKIY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [135]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [134]
FirewallRules: [TCP Query User{8A5CBA8E-2344-4C37-B91E-8588E1CB75D3}F:\program files\skype\phone\skype.exe] => (Allow) F:\program files\skype\phone\skype.exe => Нет файла
FirewallRules: [UDP Query User{2097CB95-E41C-42A2-9308-3929143B675B}F:\program files\skype\phone\skype.exe] => (Allow) F:\program files\skype\phone\skype.exe => Нет файла
CMD: sfc /scannow
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

*_*

Порядок.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

._.

[QUOTE][color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color][/QUOTE]
И при этом отсутствуют критические хотфиксы:
[QUOTE]HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4565354 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4565354]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]В т. ч. и KB4012212 - почитайте про [URL="https://ru.wikipedia.org/wiki/Petya"]шифровальщики Petya/NotPetya[/URL]. До сих пор эта уязвимость используется троянами и шифровальщиками.

[QUOTE]WinRAR 5.20 (64-разрядная) v.5.20.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Обновите WinRar: [URL="https://www.anti-malware.ru/news/2023-10-16-111332/42116"]Российские хакеры используют недавнюю уязвимость в WinRAR[/URL].

[QUOTE]Adobe Flash Player 28 ActiveX v.28.0.0.137 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 28 NPAPI v.28.0.0.137 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Flash Player 29 PPAPI v.29.0.0.140 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.
Adobe Shockwave Player 12.3 v.12.3.5.205 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее.[/QUOTE]Устарел и не используется современными браузерами.

На этом всё.

Благодарю