Trojan.Agent / heur/agen.1205338 вирус, который заразил services.msc

[Sanlovty]

Словил вирус. Без включенного TaskManager'a начинаются системные зависания, в планировщик задач и автозагрузку влетели несколько файлов. 5 штук из них маскировались под Postgresql, kmp, yandex, nvidia экзешники, но таковыми не явлились. Чистил с помощью AdwCleaner, Advpro, cureit, hitmanpro, superantispyware. Windows Defender, SmartScreen, как и некоторые другие вещи были выключены в своё время tweaker'om. MalwareBytesPro и superantispyware в realtime каждые 20-30 сек блокируют services.exe (В названии темы опечатка с .msc) :
mbam_CuRBtC1s30.png

UPD (05.03.22 10:22):
Увидел подобную вещь в в теме [https://virusinfo.info/showthread.php?t=227666]
Заранее, на всякий случай, выполнил ту же процедуру формирования полного образа автозапуска. Файл прикрепил.

[Info_bot]

Уважаемый(ая) Sanlovty, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Sanlovty]

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Ещё раз здравствуйте. При запуске системы, после этапа на котором возможно войти в биос появился экран HitmanPro, который выделил файл services.exe, я только успел это увидеть и он сразу пропал, винда загрузилась и проблем пока не замечено. Однако, не думаю, что вирус был удалён до конца. Файлы прикрепил

- - - - -Добавлено - - - - -

UPD ( 05.03.2022 11:08 ): Не знаю, важно или нет, но MalwareBytes запустил проверку по окончании которой оказалось, что Superantispyware переместил services.exe в карантин Вложение 687053


- - - - -Добавлено - - - - -

UPD ( 05.03.2022 11:27 ): На сайте ссылка на файл с вирусом уже была удалена, однако я нашёл его, запустил нa any.run и получил такой результат, возможно поможет [https://app.any.run/tasks/a7f7e39a-7...ff66d2cf4409/]

[Vvvyg]

Уведомление

Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"

Деинсталлируйте SUPERAntiSpyware, бесполезная программа.

Прикрепите в архиве файл C:\TDSSKiller.3.1.0.28_05.03.2022_08.21.52_log.txt

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {60D538DB-334F-4FF6-A0BA-DE195FA727D2} - \OneDrive Standalone Update Task-S-1-5-21-956382089-4204278177-4225085758-500 -> No File <==== ATTENTION
Folder: C:\Users\1f93f77a7f4778
Folder: C:\ProgramData\a3928ca96e6f94
Folder: C:\driverperfnet
Folder: C:\Users\mrkop\AppData\Roaming\Windows
Folder: C:\driverperfnet
2022-03-05 05:53 - 2022-03-06 10:31 - 000000000 ____D C:\Users\mrkop\AppData\Roaming\Windows
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
ContextMenuHandlers1: [BB FlashBack 2] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} =>  -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [790]
AlternateDataStreams: C:\Users\mrkop\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{35C42C65-4B7B-4E93-9CA2-5CEAAEA86F4F}] => (Allow) C:\Users\mrkop\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{D4CF9746-33FB-468D-A7EE-1E6E5AF18B38}] => (Allow) C:\Users\mrkop\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{0A2137BB-60BC-4C17-B3EB-B981D0C9EC36}] => (Allow) C:\Users\mrkop\Desktop\SWToR\SWTOR_RU_ 05_07_2021_ver2.8.4.2\SWToR_RUS.exe => No File
FirewallRules: [{7C5E8BF6-ECFE-4AA4-901B-2707DE369649}] => (Allow) C:\Users\mrkop\Desktop\SWToR\SWTOR_RU_ 05_07_2021_ver2.8.4.2\SWToR_RUS.exe => No File
FirewallRules: [{7E93348F-233E-4F42-AC10-69698E8D8EBB}] => (Allow) C:\Users\mrkop\Desktop\SWToR\SWTOR_RU_ 05_07_2021_ver2.8.4.2\SWToR_RUS.exe => No File
FirewallRules: [{43D88DB1-245F-45EB-951D-CE15B92884A4}] => (Allow) C:\Users\mrkop\Desktop\SWToR\SWTOR_RU_ 05_07_2021_ver2.8.4.2\SWToR_RUS.exe => No File
FirewallRules: [{2478A06F-F139-46AC-8F45-785FF2344B31}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его в архиве к своему следующему сообщению.
Компьютер может быть перезагружен автоматически!

[Sanlovty]

Превысил ограничение по весу прикрепляемых сообщений, поэтому в виде ссылки: https://drive.google.com/file/d/1RZM...ew?usp=sharing

[Vvvyg]

Сделайте такой фикс в Farbar Recovery Scan Tool:

Start::
2022-03-05 05:53 - 2022-03-05 05:53 - 000000906 _____ C:\Users\1f93f77a7f4778
2022-03-05 05:53 - 2022-03-05 05:53 - 000000846 _____ C:\ProgramData\a3928ca96e6f94
2022-03-05 05:53 - 2022-03-05 08:13 - 000000000 ____D C:\driverperfnet
End::

Новый лог-файл Fixlog.txt прикрепите

Папку C:\FRST\Quarantine упакуйте в архив с паролем, выложите в облако, пароль и ссылку сообщите в личном сообщении.

Что сейчас с проблемой, Malwarebytes что-то детектирует?

[Sanlovty]

Логи прикрепил, ссылку отправил. Malware ничего не находит. Фризы ушли, задержек нет.

[Vvvyg]

Сделайте новый полный образ автозапуска UVS.

[Sanlovty]

Сделано:
https://drive.google.com/file/d/1liC...ew?usp=sharing

[Vvvyg]

Порядок, внедрённые потоки в процессах пропали, были видны в первом образе.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[Sanlovty]

Всё выполнил, спасибо вам большое. Безумно благодарен! Единственное, буду рад совету, следует ли мне предпринять какие-то действия после излечения? (наподобие смены паролей)

[Vvvyg]

Что именно делал троян, неясно, но поменять все пароли стоит.