Вирус

[Карэн]

Добрый день , компьютер стал зависать , хотел просканировать мальваре, так она не устанавливается, тоесть вроде процесс пошел но установка пропадает , с трудом попал на ваш сайт, постоянно выдавало ошибку ,скачал автологгер , запускаю его , начинается работа АVZ, но тут же прекращается , не могу понять как разобраться с этой проблемой , спасибо за помощь

[Info_bot]

Уважаемый(ая) Карэн, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если не влезет во вложения - загрузите в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку.

[Карэн]

присылаю лог

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
cexec tools\CreateRestorePoint.exe BeforeCure
delref WWW.DINOKLAFBZOR.ORG
delref %SystemDrive%\USERS\KAREN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\HKCJLKKDAOIDJGLIKPAAJHOHBAPOFPEP//10.1.1.1_0
delref %SystemDrive%\USERS\KAREN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JKIGMAEIBEKDPFJJAIMGLPOANFBFOPFF//15.0.0.1_0
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Python/Agent.BL [ESET-NOD32] 7
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8 Trojan.Miner.83 [DrWeb] 7
addsgn 1A7F749A5583368CF42BFB3A88A212FA30F69CB689056A707AD645DC10D61945271703A82B2DFD092BD07B8A327609FA201CBDF9B95B5C082E77A445D0EE667A 16 NetTool.Win32.Portscan.ne [Kaspersky] 7
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 15 Trojan:Win64/DisguisedXMRigMiner [MS] 7

chklst
delvir
;-------------------------------------------------------------
deldirex %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldirex %SystemDrive%\PROGRAMDATA\RUNDLL
deldirex %SystemDrive%\PROGRAMDATA\REAITEKHD
deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
deldir %SystemDrive%\PROGRAMDATA\RUNDLL
deldir %SystemDrive%\PROGRAMDATA\REAITEKHD
regt 14
regt 18
regt 38
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\KAREN\APPDATA\LOCAL\TEMP\B18AC360-CF3B6E00-AA1D100-52E68880\148024668FA.SYS
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVMOBLS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.83\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.83\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE.DLL
delref J:\HISUITEDOWNLOADER.EXE
delref D:\SETUP.EXE
delref %SystemDrive%\USERS\KAREN\MEDIAGET2\MEDIAGET.EXE
delref I:\ILLUSION\ILLUSION\HAKO\NEW FOLDER\WIZZARD\ILLUSION_WIZZARD.EXE
delref I:\PREY\BINARIES\DANIELLE\X64\RELEASE\PREY.EXE
delref %SystemDrive%\USERS\KAREN\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\EXESOFTWARE\VILLAGE\RANDEVU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE PLAYA\THEPLAYA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE PLAYA\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE PLAYA\VALIDATOR.EXE
deltmp
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Пробуйте сделать логи Autologger.

[Карэн]

присылаю файлы исследования системы , коллектион лог , и от UVS, браузер очень долго грузит при заходе на ваш сайт

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\3D Vision\3D Vision Photo Viewer.lnk"        -> (заголовок не соответствует типу LNK) Header=0x308205E60A0100A08205DF308205DB06092B0601 (2085 байт)
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\3D Vision\3D Vision preview pack 1.lnk"      -> (заголовок не соответствует типу LNK) Header=0x308205E60A0100A08205DF308205DB06092B0601 (2097 байт)
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\The Playa\README.lnk"      -> ["C:\Program Files (x86)\The Playa\README-PLAYA.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX\The Playa\License Agreement.lnk"     -> ["C:\Program Files (x86)\The Playa\PLAYA-LICENSE.txt"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe (disabled)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Карэн]

присылаю логи , браузер долго грузит ваш сайт

[Vvvyg]

браузер долго грузит ваш сайт

Это к РТК, скорее, сайт на зарубежном хостинге (Cloudflare).

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-21-1665464141-2520639770-1573322593-1000\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [RestrictRun] 0
Task: {570C9F5B-8E2E-417E-849F-1053B1989A4A} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
Task: {68D76A37-D824-43E2-A251-5CA1693F2E00} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {6C46E395-8644-44DB-96FF-F9185A24579A} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {A336C577-8AAB-42E4-9594-9544744FA75B} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S1 amsdk; \??\C:\Windows\system32\drivers\amsdk.sys [X]
2022-08-31 22:32 - 2022-08-31 23:01 - 000000000 ____D C:\Users\karen\AppData\Local\AMSDK
2022-08-31 22:32 - 2022-08-31 22:41 - 000873098 _____ C:\Windows\ZAM.krnl.trace
2022-08-31 22:32 - 2022-08-31 22:32 - 000000000 ____D C:\Users\karen\AppData\Local\Zemana
2022-08-31 18:28 - 2022-08-31 22:57 - 000000000 ____D C:\KVRT2020_Data
2022-08-31 20:54 - 2022-05-25 16:40 - 000000000 ____D C:\Users\karen\Doctor Web
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
FirewallRules: [TCP Query User{BA206231-09DB-46FB-ACFC-371D6C0C7017}I:\living_with_temptation\rus\living with temptation 1 - redux_rus\living with temptation 1 - redux_rus\living with temptation 1 - redux\living with temptation 1 redux.exe] => (Allow) I:\living_with_temptation\rus\living with temptation 1 - redux_rus\living with temptation 1 - redux_rus\living with temptation 1 - redux\living with temptation 1 redux.exe => Нет файла
FirewallRules: [UDP Query User{A1680378-1EFD-458A-A3A8-3FF7986635FA}I:\living_with_temptation\rus\living with temptation 1 - redux_rus\living with temptation 1 - redux_rus\living with temptation 1 - redux\living with temptation 1 redux.exe] => (Allow) I:\living_with_temptation\rus\living with temptation 1 - redux_rus\living with temptation 1 - redux_rus\living with temptation 1 - redux\living with temptation 1 redux.exe => Нет файла
FirewallRules: [{F1E9DCC6-61CB-47C0-AB71-51D3E7FE3241}] => (Allow) C:\Users\karen\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{B979BCB2-C7C7-4757-9563-7EA8A85023DD}] => (Allow) C:\Users\karen\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{2BDE4219-9340-4BF2-AFCE-BB9F44A27BF9}] => (Allow) I:\GameCenter\Left to Survive\LeftToSurvive.exe => Нет файла
FirewallRules: [{E23E0031-14E3-4F19-BFBC-53AE1946B15A}] => (Allow) I:\GameCenter\Left to Survive\LeftToSurvive.exe => Нет файла
FirewallRules: [TCP Query User{B2E0D9E3-83E8-4DBF-94BA-61D0A6355E5C}C:\users\karen\mediaget2\mediaget.exe] => (Allow) C:\users\karen\mediaget2\mediaget.exe => Нет файла
FirewallRules: [UDP Query User{78A5146C-FBE7-4F5C-86EC-85E2911C4B8D}C:\users\karen\mediaget2\mediaget.exe] => (Allow) C:\users\karen\mediaget2\mediaget.exe => Нет файла
FirewallRules: [TCP Query User{A56785AD-FB47-44EE-AD0D-3FAC0A6BEF27}C:\users\karen\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\karen\mediaget2\qtwebengineprocess.exe => Нет файла
FirewallRules: [UDP Query User{3D65F96B-8C6D-4171-8CE8-BE905A6BEAE6}C:\users\karen\mediaget2\qtwebengineprocess.exe] => (Allow) C:\users\karen\mediaget2\qtwebengineprocess.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CMD: ping virusinfo.info -n 20
CMD: tracert virusinfo.info
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Карэн]

присылаю , так браузер работает быстро , каких то проблем не замечаю еще , но может в логах есть что нибудь?

[Vvvyg]

Больше нечего посоветовать.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Карэн]

Все понятно , спасибо большое за помощь , хорошее дело делаете..