Есть ли вирус?

[Nisse]

Проверка AVZ обнаружила несколько майнеров (были удалены) и "kernel32.dll, таблица экспорта найдена в секции .text" (и еще несколько подобных). Есть ли повод беспокоится и если да то что делать? Спасибо.

[Info_bot]

Уважаемый(ая) Nisse, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero ControlCenter.lnk"    -> ["C:\Program Files (x86)\Nero\Nero ControlCenter\NCC.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Uninstall Nero 2014.lnk"   -> ["C:\Program Files (x86)\Nero\uninstall_Nero2014.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero Burning ROM.lnk"      -> ["C:\Program Files (x86)\Nero\Nero 2014\Nero Burning ROM\StartNBR.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Nero Express.lnk"          -> ["C:\Program Files (x86)\Nero\Nero 2014\Nero Burning ROM\StartNE.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vidalia Bridge Bundle\Tor\Documents\Tor Manual.lnk"           -> ["C:\Program Files (x86)\Vidalia Bridge Bundle\Tor\Documents\tor-reference.html"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everything\Поиск Everything.lnk"          -> ["C:\Program Files\Everything\Everything.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Everything\Удаление Everything.lnk"       -> ["C:\Program Files\Everything\Uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip.lnk"           -> ["C:\Program Files\WinZip\winzip64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip\WinZip.lnk"    -> ["C:\Program Files\WinZip\winzip64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\DupKiller.lnk"        -> ["C:\Program Files (x86)\DupKiller\DupKiller.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Запустить в безопасном режиме.lnk"        -> ["C:\Program Files (x86)\DupKiller\DupKiller.exe"  =>> -r]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\История.lnk"          -> ["C:\Program Files (x86)\DupKiller\History.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Лицензионное соглашение.lnk"    -> ["C:\Program Files (x86)\DupKiller\License.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Удалить DupKiller.lnk"          -> ["C:\Program Files (x86)\DupKiller\Uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на английском).lnk"    -> ["C:\Program Files (x86)\DupKiller\Help\Eng\help.html"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DupKiller\Справка (на русском).lnk"       -> ["C:\Program Files (x86)\DupKiller\Help\Rus\help.html"]
>>>  "C:\Users\Nepkot\Favorites\Links\Интернет.url"  ->               hxxp://rodolga.ru/?utm_source=favorites03&utm_content=31c755ec2932623e7655724dc79ac7d4&utm_term=6F3F1A5D0BA87D776DAC44E15441BA02&utm_d=20160530

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MSConfig\startupfolder: C:^Users^Nepkot^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Gamma.lnk [backup] =  (2020/07/21) (no file)
O4 - MSConfig\startupreg: CPU_Control [command] = (no file) (HKCU) (2017/01/08)
O4 - MSConfig\startupreg: DAEMON Tools Ultra Agent [command] = (no file) (HKCU) (2016/08/22)
O4 - MSConfig\startupreg: Download Master [command] = (no file) (HKCU) (2016/03/28)
O4 - MSConfig\startupreg: MegaFon_MegaFonInternet [command] = (no file) (HKLM) (2018/07/12)
O4 - MSConfig\startupreg: movavi_suite_18.0.1_screenrecorder [command] = (no file) (HKCU) (2019/03/01)
O4 - MSConfig\startupreg: NetLimiter [command] = (no file) (HKCU) (2019/09/20)
O4 - MSConfig\startupreg: NvBackend [command] = (no file) (HKLM) (2019/03/01)
O4 - MSConfig\startupreg: Skype [command] = (no file) (HKCU) (2017/06/06)
O4 - MSConfig\startupreg: StartCCC [command] = (no file) (HKLM) (2018/07/12)
O4 - MSConfig\startupreg: SunJavaUpdateSched [command] = (no file) (HKLM) (2019/09/13)
O4 - MSConfig\startupreg: SyncManPath [command] = (no file) (HKCU) (2017/09/12)
O4 - MSConfig\startupreg: Vivaldi Update Notifier [command] = (no file) (HKCU) (2019/09/21)
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\     MailRuDiskoIconOverlay0: (no name) - {05EEE316-3AD4-4459-922B-B1CA88962F14} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\     MailRuDiskoIconOverlay1: (no name) - {B5E0E0D5-A185-4D82-BFEE-3C51052EEA82} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\     MailRuDiskoIconOverlay2: (no name) - {66FED18D-FC3D-4012-A8B3-41E77F6DCA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\     MailRuDiskoIconOverlay3: (no name) - {55FED18D-FC3D-6019-A8B3-41E44F6DCA1A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\     MailRuDiskoIconOverlay4: (no name) - {33FED18D-FC3D-6019-A8B3-41E44F6DCA1A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay0: Cloud Mail.Ru IconOverlay Class - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay1: Cloud Mail.Ru IconOverlay Class - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay2: Cloud Mail.Ru IconOverlay Class - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay0: (no name) - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay1: (no name) - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  MailRuCloudIconOverlay2: (no name) - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUS (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Задачи просмотра событий (empty)
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: \Microsoft\Windows\AA18572E0-FC39-49EF-911C-1EC2C3D8C154 - C:\Users\Nepkot\AppData\Roaming\Adobe\NativePlugin\OOBA\PPAPI\A18572E0-FC39-49EF-911C-1EC2C3D8C154\2B9271A6-71DC-4189-BFCC-1AE4A98EA550.exe --getupdate-npapi-plugin (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Nisse]

Запрашиваемые отчеты.
p.s. При попытке перейти по ссылке на утилиту ClearLNK открывается окно про войну с Украиной. Если переходить по ссылке при включённом VPN то скачивается нормально.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
S2 Chemtable Startup Checking; отсутствует ImagePath
S3 GalaxyClientService; отсутствует ImagePath
S3 GalaxyCommunication; отсутствует ImagePath
S2 Chemtable Startup Checking; отсутствует ImagePath
S3 GalaxyClientService; отсутствует ImagePath
S3 GalaxyCommunication; отсутствует ImagePath
CustomCLSID: HKU\S-1-5-21-3804073847-2059825028-1645387378-1000_Classes\CLSID\{6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-3804073847-2059825028-1645387378-1000_Classes\CLSID\{E36606FE-036A-4dd0-ABA9-A58F409803F0}\InprocServer32 -> отсутствует путь к файлу
ContextMenuHandlers1_S-1-5-21-3804073847-2059825028-1645387378-1000: [!VideoMASTER] -> {8A7D38FA-6E11-48FF-8315-8B9EA08F5314} =>  -> Нет файла
ContextMenuHandlers3_S-1-5-21-3804073847-2059825028-1645387378-1000: [MailRuCloudContextMenu] -> {6775BBF1-8D9D-4D14-A999-4E78DF8DCEC6} =>  -> Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
CMD: sfc /scannow
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[Nisse]

Сделано.

[Vvvyg]

У Вас большие косяки в системе:

========= sfc /scannow =========
Защите ресурсов Windows не удается запустить службу восстановления.

Отсутствует файл

S3 TrustedInstaller; %SystemRoot%\servicing\TrustedInstaller.exe [X]

и соответствующая служба не работает, не устанавливаются обновления, компоненты системы, и, возможно, часть приложений.

Вирусов нет.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Nisse]

Спасибо! Можно ли как то исправить это не переустанавливая систему? Может что то типа Live cd?

[Vvvyg]

Попробуем, вечером отвечу.

- - - - -Добавлено - - - - -

1. Станьте владельцем папки ‪C:\Windows\servicing - инструкция И дайте себе полные права на неё.
2. Распакуйте в эту папку файл из вложения:
TrustedInstaller.7z
3. Скачайте Windows Repair (All In One) Portable, распакуйте, запустите, "Jump To Repairs", "Open Repairs", отметьте пункты:
14 "Remove Temp Files"
16 "Repair Windows Updates"
25 "Restore Important Windows Services"
26 "Set Windows Services To Default Startup"
02 "Reset File Permissions"
и нажмите "Start Repairs".

4. После перезагрузки загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Nisse]

Благодарю. Сделано.

[Vvvyg]

Internet Explorer 11.0.9600.17239 Внимание! Скачать обновления

Попробуйте установить это обновление.

[Nisse]

К сожалению не получилось. Пишет что "необходимо обновить установщик модулей Windows". Проверил при помощи WindowsUpdate.diagcab -все исправлено. Быть может это из за того что система уже не поддерживается? Впрочем ладно. Главное что основные ошибки исправлено и вирусов нет. Огромное спасибо за вашу помощь!