Антивирусные не помогают, нужна помощь

**wildcat55** · 09.07.2021, 11:20

В целом, на данный момент ПК работает нормально, не считая мелких багов. Языковая панель(значок в трее) пропадет, печать на сетевй принтер отвалится. Симптоматика такая.
На компе стоит Malwarebytes, который регулярно пишет:
Категория: Троянская программа
Домен: winhost.xyz
IP-адрес: 185.244.43.165
Порт: 80
Тип: Исходящий трафик
Файл: C:\Windows\System32\lsass.exe

В папке "C:\ProgramData" так же регулярно создается файл temp5.exe, в котором один из антивирусников определил Trojan.Starter.7997
Kaspersky Virus Removal Tool находит в памяти Trojan.Win64.EquationDrug.gen

Помогите, заранее благодарен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.07.2021, 11:21

Уважаемый(ая) wildcat55, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.07.2021, 20:09

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе ClearLNK прикрепите.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**wildcat55** · 13.07.2021, 10:01

Добрый день.
Высылаю запрошенные логи.

**Vvvyg** · 13.07.2021, 20:21

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Virustotal: C:\ProgramData\temp5.exe
2021-07-09 13:22 - 2021-07-13 09:38 - 011139072 _____ C:\ProgramData\temp5.exe
2021-07-08 10:10 - 2021-07-08 10:10 - 000000000 _____ C:\Windows\system32\Drivers\OLD5881.tmp
2021-07-08 10:09 - 2021-07-08 10:09 - 000000000 _____ C:\Windows\system32\Drivers\OLD42AE.tmp
2021-07-08 10:09 - 2021-07-08 10:09 - 000000000 _____ C:\Windows\system32\Drivers\OLD369B.tmp
2021-07-08 09:03 - 2021-07-08 09:03 - 000000000 _____ C:\Windows\system32\Drivers\OLD6147.tmp
2021-07-08 09:03 - 2021-07-08 09:03 - 000000000 _____ C:\Windows\system32\Drivers\OLD4B55.tmp
2021-07-08 09:03 - 2021-07-08 09:03 - 000000000 _____ C:\Windows\system32\Drivers\OLD3F71.tmp
2021-07-08 08:36 - 2021-07-08 08:36 - 000000000 _____ C:\Windows\system32\Drivers\OLD49A2.tmp
2021-07-08 08:36 - 2021-07-08 08:36 - 000000000 _____ C:\Windows\system32\Drivers\OLD33CF.tmp
2021-07-08 08:36 - 2021-07-08 08:36 - 000000000 _____ C:\Windows\system32\Drivers\OLD27EB.tmp
2021-07-08 07:32 - 2021-07-08 07:32 - 000648728 _____ C:\Windows\Minidump\070821-15834-01.dmp
2021-07-07 16:26 - 2021-07-08 07:31 - 527555409 _____ C:\Windows\MEMORY.DMP
2021-07-07 16:26 - 2021-07-07 16:26 - 000644600 _____ C:\Windows\Minidump\070721-19203-01.dmp
Folder: C:\gecici_proje_klasoru
2021-07-05 15:58 - 2021-07-07 09:53 - 000000000 _RSHD C:\gecici_proje_klasoru
2021-07-07 09:53 - 2021-01-12 13:04 - 008405015 _____ C:\Windows\TmpFile1
HKU\S-1-5-21-3227934139-728615110-1626452443-1000\Software\Classes\exefile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-3227934139-728615110-1626452443-1000\Software\Classes\.exe:  =>  <==== ВНИМАНИЕ
FirewallRules: [UDP Query User{4EAA3CB3-EB13-46C5-B6B7-659BD6AF60B7}C:\program files (x86)\download studio\dstudio.exe] => (Allow) C:\program files (x86)\download studio\dstudio.exe => Нет файла
FirewallRules: [TCP Query User{218C5662-D3C5-462B-B975-48F36B7CBCD0}C:\program files (x86)\download studio\dstudio.exe] => (Allow) C:\program files (x86)\download studio\dstudio.exe => Нет файла
FirewallRules: [UDP Query User{1C75E158-F207-4CE4-A3D2-CBD68A59AE37}C:\program files\1cv8\8.3.17.1851\bin\1cv8c.exe] => (Block) C:\program files\1cv8\8.3.17.1851\bin\1cv8c.exe => Нет файла
FirewallRules: [TCP Query User{9A0B0ACC-4E91-49B1-92F1-DF3F5AEBE3CD}C:\program files\1cv8\8.3.17.1851\bin\1cv8c.exe] => (Block) C:\program files\1cv8\8.3.17.1851\bin\1cv8c.exe => Нет файла
FirewallRules: [UDP Query User{34C7AACE-1DE9-431B-A199-725241213302}C:\program files\1cv8\8.3.17.1851\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.17.1851\bin\1cv8.exe => Нет файла
FirewallRules: [TCP Query User{EF01C8DB-AE11-4926-AFF7-7428B8A563A2}C:\program files\1cv8\8.3.17.1851\bin\1cv8.exe] => (Block) C:\program files\1cv8\8.3.17.1851\bin\1cv8.exe => Нет файла
FirewallRules: [UDP Query User{62075948-ABCE-4C7F-808C-0A7BE645E8FD}D:\download\programs\atom rpg trudograd v0.7.2\trudograd_win64.exe] => (Allow) D:\download\programs\atom rpg trudograd v0.7.2\trudograd_win64.exe => Нет файла
FirewallRules: [TCP Query User{55535BBE-8658-4921-B223-E1DAE0F1693B}D:\download\programs\atom rpg trudograd v0.7.2\trudograd_win64.exe] => (Allow) D:\download\programs\atom rpg trudograd v0.7.2\trudograd_win64.exe => Нет файла
FirewallRules: [UDP Query User{04566E53-0963-4FBA-B2EE-49757A1F6B11}D:\download\programs\atom rpg\trudograd_win64.exe] => (Allow) D:\download\programs\atom rpg\trudograd_win64.exe => Нет файла
FirewallRules: [TCP Query User{5CA23442-A5C8-4D42-980F-B73D75AB6E00}D:\download\programs\atom rpg\trudograd_win64.exe] => (Allow) D:\download\programs\atom rpg\trudograd_win64.exe => Нет файла
FirewallRules: [UDP Query User{0AFD9388-7FA6-40BB-9330-07A768573085}D:\download\programs\unity\editor\unity.exe] => (Allow) D:\download\programs\unity\editor\unity.exe => Нет файла
FirewallRules: [TCP Query User{3BA13C6B-6080-4FED-A98F-C63757409FEB}D:\download\programs\unity\editor\unity.exe] => (Allow) D:\download\programs\unity\editor\unity.exe => Нет файла
FirewallRules: [{A609F2BF-6653-4570-96C7-7BC1F6E76D8C}] => (Block) D:\Download\Programs\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [{79F1C949-E1EA-4181-A582-4C7B0C01295E}] => (Allow) D:\Download\Programs\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [UDP Query User{4A0F4BED-117F-435A-B025-1D0C01B1EFC7}D:\download\programs\unity\editor\data\resources\packagemanager\diagnostics\bin\unitypackagemanagerdiagnostics.exe] => (Allow) D:\download\programs\unity\editor\data\resources\packagemanager\diagnostics\bin\unitypackagemanagerdiagnostics.exe => Нет файла
FirewallRules: [TCP Query User{2AFD1FA3-B82F-4754-AC05-69D3F9655C7A}D:\download\programs\unity\editor\data\resources\packagemanager\diagnostics\bin\unitypackagemanagerdiagnostics.exe] => (Allow) D:\download\programs\unity\editor\data\resources\packagemanager\diagnostics\bin\unitypackagemanagerdiagnostics.exe => Нет файла
FirewallRules: [UDP Query User{BDE7C7A8-E597-4578-8BA2-DDB019673D72}D:\download\программы\unity\editor\unity.exe] => (Allow) D:\download\программы\unity\editor\unity.exe => Нет файла
FirewallRules: [TCP Query User{DCCA443C-FCCA-4886-907C-6D92072E932D}D:\download\программы\unity\editor\unity.exe] => (Allow) D:\download\программы\unity\editor\unity.exe => Нет файла
FirewallRules: [UDP Query User{E7D1AEA9-82FE-4720-9655-74BA5E63E25D}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe => Нет файла
FirewallRules: [TCP Query User{66772858-6380-4908-A100-B95B2633F399}C:\program files\unity hub\unity hub.exe] => (Allow) C:\program files\unity hub\unity hub.exe => Нет файла
FirewallRules: [{C7EA5E2A-9423-461D-B542-FDC0ECC83BA2}] => (Allow) C:\Program Files\Unity Hub\Unity Hub.exe => Нет файла
FirewallRules: [{A5459CF9-B7B9-40B5-A86E-6061E012E9F8}] => (Block) D:\Download\Программы\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [{A83AACB0-2B2C-4C8D-BC17-3139688B3A9D}] => (Allow) D:\Download\Программы\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [UDP Query User{4B5BAEBA-9349-46A1-BBCE-C39D806F8E0D}C:\program files\unity\editor\unity.exe] => (Allow) C:\program files\unity\editor\unity.exe => Нет файла
FirewallRules: [TCP Query User{322AA8FA-F154-4AD1-A715-D89FE7370678}C:\program files\unity\editor\unity.exe] => (Allow) C:\program files\unity\editor\unity.exe => Нет файла
FirewallRules: [{4056C026-F401-41FF-8E51-EE4F065BE1CB}] => (Block) C:\Program Files\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [{BC31AB2A-82C3-4D0E-A293-02722DDD1900}] => (Allow) C:\Program Files\Unity\Editor\Unity.exe => Нет файла
FirewallRules: [{73EF4C71-08AE-4BE8-A90E-E1F7E8CAEA46}] => (Allow) C:\Temp\is-K6OT4.tmp\Soft\AnyDesk 5.5.3.exe => Нет файла
FirewallRules: [{4A418144-EF01-4FD6-A8F8-FC003F3521EA}] => (Allow) C:\Temp\is-K6OT4.tmp\Soft\AnyDesk 5.5.3.exe => Нет файла
FirewallRules: [{5B5B205D-15AA-41B4-B5C7-3F6342999BB0}] => (Allow) C:\Temp\is-K6OT4.tmp\Soft\AnyDesk 5.5.3.exe => Нет файла
FirewallRules: [{29153C7C-4674-4A39-AAA2-0C0484456C2F}] => (Allow) C:\Temp\is-K6OT4.tmp\Soft\AnyDesk 5.5.3.exe => Нет файла
FirewallRules: [UDP Query User{ADA54F41-BE73-4401-AC09-85AEDE718CBF}C:\programdata\ammyy\aa_v3.exe] => (Allow) C:\programdata\ammyy\aa_v3.exe => Нет файла
FirewallRules: [TCP Query User{FB3663FC-395B-4C85-A0CA-79A1556AED37}C:\programdata\ammyy\aa_v3.exe] => (Allow) C:\programdata\ammyy\aa_v3.exe => Нет файла
FirewallRules: [UDP Query User{B714B134-FDC3-4AA7-B3EF-E2EF941B3730}C:\program files\winhttrack\winhttrack.exe] => (Block) C:\program files\winhttrack\winhttrack.exe => Нет файла
FirewallRules: [TCP Query User{171D4614-4CA0-4AB9-A436-BA291B3BCC8C}C:\program files\winhttrack\winhttrack.exe] => (Block) C:\program files\winhttrack\winhttrack.exe => Нет файла
FirewallRules: [{D48AF0C0-3288-4E1B-945A-288158353080}] => (Allow) C:\Program Files (x86)\Multilizer\MultilizerPDFTranslator\PDFTRanslationWizard.exe => Нет файла
FirewallRules: [{6B682FA4-67E5-427C-9753-62195C0662DC}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{2439BEC8-AA21-4C99-B08C-BF22DFB87995}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{8262DB0D-2CA8-4C5A-9854-C111DF775C18}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{7183E588-1D01-46E1-B049-34663CD4DCF8}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{B6073231-D5A6-4853-B633-460DA5BDACAB}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{F326BD5B-3175-4C87-946D-AEC7CED4AE76}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{4F7FABF4-CB8B-4309-8F84-3D91C1B40285}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{2D3BC230-173A-4376-B438-E342CD5E123F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{512B801F-E155-4D77-A461-9CBAD098CE28}] => (Block) C:\Program Files (x86)\uvnc bvba\UltraVNC\winvnc.exe => Нет файла
FirewallRules: [{6A891681-B1C6-45DD-92C4-FE8D28A99CF9}] => (Block) C:\Program Files (x86)\uvnc bvba\UltraVNC\winvnc.exe => Нет файла
FirewallRules: [UDP Query User{733138A2-C17A-43EE-A1E3-EE2C78987025}D:\драйвера\hp_m1530_mfp_full_solution_15188\installer\hpbcsiinstaller.exe] => (Allow) D:\драйвера\hp_m1530_mfp_full_solution_15188\installer\hpbcsiinstaller.exe => Нет файла
FirewallRules: [TCP Query User{88521667-C653-40FE-82DF-5DFFADA49432}D:\драйвера\hp_m1530_mfp_full_solution_15188\installer\hpbcsiinstaller.exe] => (Allow) D:\драйвера\hp_m1530_mfp_full_solution_15188\installer\hpbcsiinstaller.exe => Нет файла
FirewallRules: [{3119BFF7-CDA1-48FE-9439-5325686E4975}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{47BDEFED-8BD4-4842-943B-47EF875A5BCF}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{8732CB47-A2F6-4078-A1BC-EC9110FC516C}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{866225F9-A0DE-4FAC-8960-190604D2442B}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
CMD: wmic path Win32_QuickFixEngineering get HotFixId
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**wildcat55** · 14.07.2021, 09:39

Вчера скачал свежий Kaspersky Virus Removal Tool, который обнаружил кучу гадостей в папке C:\ProgramData
В частности там была папка RunDll
На текущей момент система работает стабильно, Dr.Web CureIt обнаружил еще пару вирусов.

**Vvvyg** · 14.07.2021, 12:19

Поменяйте пароли на все ресурсы, могли увести.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

**wildcat55** · 14.07.2021, 13:11

В Журнале Windows\Приложение регулярно выскакивает предупреждение:
"Система Windows обнаружила, что файл реестра используется другими приложениями или службами. Файл будет сейчас выгружен. Приложения или службы, которые используют файл реестра, могут впоследствии работать неправильно.
ПОДРОБНО -
6 user registry handles leaked from \Registry\User\S-1-5-21-3227934139-728615110-1626452443-1000:
Process 684 (\Device\HarddiskVolume1\Windows\System32\lsass.ex e) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000
Process 684 (\Device\HarddiskVolume1\Windows\System32\lsass.ex e) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000
Process 3888 (<Unknown>) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000
Process 684 (\Device\HarddiskVolume1\Windows\System32\lsass.ex e) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000\Software\Microsoft\SystemCertificates\Disallo wed
Process 684 (\Device\HarddiskVolume1\Windows\System32\lsass.ex e) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000\Software\Microsoft\SystemCertificates\My
Process 684 (\Device\HarddiskVolume1\Windows\System32\lsass.ex e) has opened key \REGISTRY\USER\S-1-5-21-3227934139-728615110-1626452443-1000\Software\Microsoft\SystemCertificates\CA"
Что это значит?

Пароль на какие ресурсы?

Антивирусные не помогают, нужна помощь (заявка № 226976)

Опции темы