Exploit не дает жизни, help/

[YOUNONA]

Всем привет, на днях подхватил вирус ..


В общем после запуска имею:
1.Закрывается диспетчер.
2.Не качает браузер файлы.
3.Defender изменил настройки и внёс много папок в исключения, отменил отправку образцов.
4.Папка ProgramData не доступна.
5.Выскакивает окно и просит нажать ОК.


Что мне удалось решить самому:
1.Могу качать файлы с другого браузера либо переименовывая их ру буквами и большенство проходит (некоторые файлы все равно удаляет уже после установки)
2.Удалось убрать табличку которая просила нажать ОК.
3.Удалось отстоять диспетчер задач, теперь не закрывается.
4.Удалось убрать папки из исключений defender.
5.Удалось в defender открыть репорт файлов в сеть и онлайн сканирование.
6.Удалось отстоять папку ProgramData


НО по прежнему осталось вот что.
1.Не качает со стандартного браузера моего.
2.Defender нашёл “Exploit meterpreter” но ни как не хочет его удалять, то есть видит его что есть вирус но ничего не может с ним поделать, вирус блокирует работу Defender.
3.Иногда закрывается Defender и виснет.
Пробовал другие антивирусы и они иногда что-то находят и даже удаляют, но ничего не меняется окончательно.

[Info_bot]

Уважаемый(ая) YOUNONA, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\younona\Desktop\Новая папка\Tor Browser\Start Tor Browser.lnk"    -> ["C:\Users\younona\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\younona\Desktop\Start Tor Browser.lnk"        -> ["C:\Users\younona\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk"  -> ["C:\Users\younona\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\Windows\system32\osk.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\Windows\system32\narrator.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"         -> ["C:\Windows\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\younona\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\Windows\system32\mblctr.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\reFX\Nexus\NEXUS Manual English.lnk"     -> ["C:\Program Files\Image-Line\FL Studio 20\Plugins\Fruity\Generators\Nexus\Program Files (x86)\Manual\Nexus 2 Manual English.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line\reFX\Nexus\What's New.lnk"     -> ["C:\Program Files\Image-Line\FL Studio 20\Plugins\Fruity\Generators\Nexus\Program Files (x86)Manual\What's New.pdf"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk"           -> ["C:\Users\younona\AppData\Roaming\uTorrent\uTorrent.exe"]
>>>  "C:\Users\younona\Desktop\µTorrent.lnk"       -> ["C:\Users\younona\AppData\Roaming\uTorrent\uTorrent.exe"]
>>>  "C:\Users\Public\Desktop\Steam.lnk"           -> ["C:\Program Files (x86)\Steam\Steam.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk"      -> ["C:\Program Files (x86)\Steam\Steam.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"           -> ["C:\Windows\system32\osk.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"           -> ["C:\Windows\system32\narrator.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk"        -> ["C:\Program Files (x86)\Steam\steam.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"   -> ["C:\Windows\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\younona\Desktop\Мир танков.lnk"     -> ["C:\Games\Tanki\lgc_api.exe"  =>> --open]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Мир танков.lnk"           -> ["C:\Games\Tanki\lgc_api.exe"  =>> --open]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lesta Games\Tanki\Удалить Мир танков.lnk"   -> ["C:\Games\Tanki\lgc_api.exe"  =>> --uninstall]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Far Cry 6\Запустить Far Cry 6.lnk"        -> ["C:\Program Files (x86)\Far Cry 6\bin\FarCry6.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Far Cry 6\Деинсталлировать Far Cry 6.lnk"           -> ["C:\Program Files (x86)\Far Cry 6\unins000.exe"]
>>>  "C:\Users\Public\Desktop\Far Cry 6.lnk"       -> ["C:\Program Files (x86)\Far Cry 6\bin\FarCry6.exe"]
>>>  "C:\Users\Public\Desktop\Торрент  Игруха.lnk"           -> ["C:\Users\Public\Documents\TI\Torrent-Igruha.Org.URL"]
>>>  "C:\Users\Administrator\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"   -> ["C:\Windows\system32\mblctr.exe"]
>>>  "C:\Users\younona\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord.lnk"  -> ["C:\Users\younona\AppData\Local\Programs\Discord\UnoSetup.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\reFX\Nexus\What's New.lnk"      -> ["C:\Program Files (x86)Manual\What's New.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Native Instruments\Kontakt 6 PORTABLE\Kontakt 6 PORTABLE.lnk"          -> ["C:\Program Files\KONTAKT\Kontakt\x64\Kontakt.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Native Instruments\Kontakt 6 PORTABLE\Документация.lnk"      -> ["C:\Program Files\KONTAKT\Kontakt\Documentation"]
>>>  "C:\Users\Public\Desktop\Kontakt 6 PORTABLE.lnk"        -> ["C:\Program Files\KONTAKT\Kontakt\x64\Kontakt.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[YOUNONA]

Вот, что просили.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
2023-11-07 12:57 - 2023-11-06 13:24 - 000000000 _____ C:\Windows\system32\Drivers\etc\2023-11-07_12-57_hosts.bak
2023-11-07 02:19 - 2023-11-07 02:19 - 005659583 _____ (Swearware) C:\Users\younona\Downloads\combofix-19-11-4-1.exe
2023-11-07 02:17 - 2023-11-07 02:23 - 000069624 _____ C:\TDSSKiller.3.1.0.28_07.11.2023_02.17.23_log.txt
2023-11-06 18:20 - 2023-11-06 18:21 - 000000000 __SHD C:\DrWeb Quarantine
2023-11-06 14:32 - 2023-11-06 18:24 - 000000000 ____D C:\Users\younona\Doctor Web
2023-11-06 01:47 - 2023-11-06 01:47 - 000000000 _____ C:\Windows\system32\del
2023-11-06 01:34 - 2023-11-06 01:34 - 000000000 _____ C:\Windows\system32\ProgramData
2023-11-06 01:03 - 2023-11-06 01:03 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-11-06 21:44 - 2022-11-16 20:10 - 000000000 ____D C:\ProgramData\Kaspersky Lab
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2022\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{5D44759C-CF3F-433D-9EA0-267E45577C77}\InprocServer32 -> C:\Users\younona\AppData\Local\Google\Update\1.3.36.212\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2022\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{AE9899FA-E21F-4D91-BD1F-59BC10E56CA1}\InprocServer32 -> C:\Users\younona\AppData\Local\Google\Update\1.3.36.292\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{DA06AAE8-5748-4509-850F-17AA522F8372}\InprocServer32 -> C:\Users\younona\AppData\Local\Google\Update\1.3.36.272\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2648010727-354208033-2475738962-1001_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2022\Inventor Server\Bin\TestServer.dll => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\younona\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{02C35B4C-16D9-426B-9283-D3A4917092D4}] => (Allow) C:\Users\younona\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{E1408899-3373-46AA-9777-2DC27825B820}] => (Allow) C:\Users\younona\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{464F9C28-8229-4F70-B9AC-C6D8E667C60E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{D7D94507-B52C-41F0-BC50-89AC9AAF0302}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{678EF028-9A4A-4FD5-85D7-391E29985870}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [{167F2490-B970-4713-B900-6E41A3F93C22}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\PUBG\TslGame\Binaries\Win64\ExecPubg.exe => Нет файла
FirewallRules: [TCP Query User{D72FE59F-09B2-4702-B66E-C080F8B35126}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{81591492-67C8-40B9-AAB8-41B887F27EF3}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{1CD04162-0A93-4DEE-9B33-772E8D5F1B2C}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [UDP Query User{887A41E2-6390-414A-BE7E-8B2BFFFEEB9B}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
FirewallRules: [TCP Query User{95B0D96E-FBB0-4C15-A92B-F88CACB3AAEE}C:\users\younona\appdata\local\discord\app-1.0.9010\discord.exe] => (Allow) C:\users\younona\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [UDP Query User{F6ECD136-064F-4045-B0AD-711A40AC0272}C:\users\younona\appdata\local\discord\app-1.0.9010\discord.exe] => (Allow) C:\users\younona\appdata\local\discord\app-1.0.9010\discord.exe => Нет файла
FirewallRules: [TCP Query User{6BC1BA65-EF6C-49DB-873F-A6238E5A2DF8}C:\users\younona\appdata\roaming\octo browser\bin\octium\112.2304.2\octium.exe] => (Allow) C:\users\younona\appdata\roaming\octo browser\bin\octium\112.2304.2\octium.exe => Нет файла
FirewallRules: [UDP Query User{1B1E7DD6-3BC0-443B-875E-A619705A7D65}C:\users\younona\appdata\roaming\octo browser\bin\octium\112.2304.2\octium.exe] => (Allow) C:\users\younona\appdata\roaming\octo browser\bin\octium\112.2304.2\octium.exe => Нет файла
FirewallRules: [TCP Query User{9EDFAB23-3988-4ED2-BD09-3D3B4B5823B2}C:\program files (x86)\far cry 6\bin\farcry6.exe] => (Allow) C:\program files (x86)\far cry 6\bin\farcry6.exe => Нет файла
FirewallRules: [UDP Query User{BA6750B4-B823-4B4E-BC4C-218C310365F6}C:\program files (x86)\far cry 6\bin\farcry6.exe] => (Allow) C:\program files (x86)\far cry 6\bin\farcry6.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Житья не давал майнер (его зачистили), а не эксплоит. На него детект был в .ISO образе Kali Linux, страшного ничего, и удалить, кроме как с образом вместе, нельзя.

[YOUNONA]

Ну да, понимал что в ISO Kali что-то есть, но что с этим делать.. хз)

[Vvvyg]

Тогда всё на этом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

[YOUNONA]

Все равно остался где-то вирус или повреждения.
Defender виснет весь и показывает десятки вирусов и не может их удалить, проводит постоянно проверку и пишет что 0 угроз, закрываешь окно тут же пишет предупреждение что надо срочно применить действия по устранению угроз, он показывает угрозы но не удаляет их.
И значок защиты всегда красный.
Так же когда жмешь запуск действия то виснет и закрывается defender.
Я вообще принудительно до вашей помощи исключал папки из defendera через командную, реестр, пытался папки восстановить, возможно нарушил его работу... сейчас перепроверил целостность и все ок, но defender отказывается работать, закрывается когда хоть как-то пытаешься удалить угрозы.

[YOUNONA]

Хотел очистить кэш defender(а) журнал, обнаружил что у меня нет доступа к этой папке, отказано в доступе, якобы я не админ...
Ручное указание администратора выдает ошибку..(якобы некоторые файлы не могут передать права)
Заметила еще что создалась учетка админа другая, но в настройках ее нет. (будто одна система)
Так что, что-то произошло еще с учетками.

[YOUNONA]

Короче трэш какой-то, 2 учетные записи и никто из них не обладает полными правами) defender я думаю ругается и не может удалить так как файлов больше нет, но он хранит в кэше инфу.
Хотя пробовала уже медленный режим запуска пк, не помогло, удаляла папку с историей, не помогло.
Хотела перезапустить службу через командную, пишет отказ (на обоих пользователях)
Еще и ошибка появилась (поврежденная корзина)

[YOUNONA]

В общем после проделанных действий выше осталось вот что.

1.Так же не качает файлы с браузера. (причем поперва он разрешал, но потом будто активизировался снова)
2.Defender постоянно показывает разное количество угроз (именно критичных)
3.Удалить их не может (причем при скане показывает 0 угроз) и тут же требует очистить от угроз, но действия не применяет.
4.Создался еще один администратор (иногда какие-то траблы с учетками, так как к некоторым папкам пропадет доступ)

В остальном стабильно)
Так же видео прикладываю
https://disk.yandex.ru/i/ljYdJ8A-7QbVEA