Заражение ПК

[xDerOmmeNx]

Добрый день.
Подхватил заразу. Вероятнее всего 29.08.2022
Не заметил бы ничего, если бы не оставил ПК включенным на 5 часов без запущенных программ, при возвращении к ПК, обнаружил загруженный RAM на 98%. Уйму запущенных процессов AMD, которые не отбивались, при этом при попытке открыть расположение файла, закрывался диспетчер.
На ПК антивирусов не стояло, вовсе, так уж исторически сложилось.
При попытке скачать любой сканер или утилиту для проверки системы, велась подмена DNS, что крайне обескуражило.
Так же после скачивания дистрибутивов и попытке запуска система блокировала файл или запрещала для него действия, якобы необходимы повышенные права. Аудит и предоставления доступа не помогло.
В безопасном режиме попытался выгрузить процессы, но тщетно. В итоге натолкнулся на утилиту rkill, оно нашло подмену данных в hosts после чего был запущен сканер ESET, который в свою очередь часть "бяк" убил. Однако после перезагрузки отголоски остались, так же чувствовалась подмена DNS и проблемы с запуском утилит. Так же в program files были обнаружены скрытые папки которых явно не было ранее (COMODO, Loaris Trojan Remover и тд) доступа к этим папкам так же не было.

В итоге удалось скачать KVRT и просканировать. После перезагрузки, вроде все работает, однако остался неприятный осадок.

Просьба помочь, не осталось ли последствий данного "чудища" на ПК, или еще чего
Логи прикрепляю.

[Info_bot]

Уважаемый(ая) xDerOmmeNx, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\RunOnce: [Application Restart #2] = C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe "C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe" "C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe" "C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe" -Embedding (file missing)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe (disabled)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\User\Desktop\ABBYY FineReader PDF 15.lnk"     -> ["C:\Program Files (x86)\ABBYY FineReader 15\FineReader.exe"]
>>>  "C:\Users\User\Desktop\AIDA64.lnk"  -> ["C:\Program Files (x86)\AIDA64\aida64.exe"]
>>>  "C:\Users\User\Desktop\ArcaniA - Fall of Setarrif.lnk"  -> ["F:\Games\ArcaniA - Gold Edition\Fall of Setarrif\Arcania Addon.exe"]
>>>  "C:\Users\User\Desktop\Battle.net.lnk"        -> ["C:\Program Files (x86)\Battle.net\Battle.net Launcher.exe"]
>>>  "C:\Users\User\Desktop\BlueStacks.lnk"        -> ["C:\ProgramData\BlueStacks\Client\Bluestacks.exe"]
>>>  "C:\Users\User\Desktop\HDD Regenerator.lnk"   -> ["C:\Program Files (x86)\HDD Regenerator\HDD Regenerator.exe"]
>>>  "C:\Users\User\Desktop\MEmu.lnk"    -> ["C:\Program Files (x86)\Microvirt\MEmu\MEmu.exe"]
>>>  "C:\Users\User\Desktop\Демки на мувик\Fraps_rus.lnk"    -> ["C:\Fraps\fraps_rus.exe"]
>>>  "C:\Users\Public\Desktop\TLauncher.lnk"       -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk"           -> ["C:\Users\User\AppData\Roaming\uTorrent\uTorrent.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Application Data\Microsoft\Internet Explorer\Quick Launch\uTorrent.lnk"      -> ["C:\Program Files (x86)\uTorrent\utorrent.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk"          -> ["C:\Program Files (x86)\Skype\Phone\Skype.exe"  =>> /sendto:]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MelBet\MelBet.lnk"         -> ["C:\Users\User\AppData\Local\MelBet\MelBet\Starter.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MelBet\Удалить MelBet.lnk"           -> ["C:\Users\User\AppData\Local\MelBet\MelBet\uninstall.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Ubisoft Connect.lnk"    -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftConnect.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\UbisoftConnect\Uninstall.lnk"          -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk"         -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uninstall.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk"   -> ["C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\Uplay.exe"]
>>>  "C:\Users\User\Downloads\WinSetupFromUSB-1-9\files\grub4dos\grub.pif"       -> ["GRUB.EXE"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype for Business.lnk"         -> ["C:\Program Files\Microsoft Office\root\Office16\lync.exe"]
>>>  "C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Отправка в OneNote.lnk"      -> ["C:\Program Files\Microsoft Office\root\Office16\ONENOTEM.EXE"  =>> /tsr]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sudden Strike 4 [GOG.com]\Удалить Sudden Strike 4.lnk"        -> ["D:\Games\Sudden Strike 4\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sudden Strike 4 [GOG.com]\Sudden Strike 4.lnk"      -> ["D:\Games\Sudden Strike 4\SuddenStrike4.exe"]

Отчёт о работе прикрепите.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

[xDerOmmeNx]

Добрый день.
Логи прикрепляю

[Vvvyg]

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[xDerOmmeNx]

Выполнено

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR HKU\S-1-5-21-3072441309-4198122111-3212295019-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2022-08-29 21:09 - 2022-08-30 09:27 - 000223176 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2022-08-29 18:50 - 2022-08-30 09:27 - 000239544 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
2022-08-29 18:50 - 2022-08-29 20:56 - 000002033 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
2022-08-29 18:50 - 2022-08-29 18:50 - 000158640 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys
2022-08-29 18:50 - 2022-08-29 18:50 - 000021480 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys
2022-08-29 18:49 - 2022-08-29 18:49 - 002556344 _____ (Malwarebytes) C:\Users\User\Downloads\14444.exe
2022-08-29 00:40 - 2022-08-30 10:27 - 000000000 ____D C:\Program Files\Common Files\AV
2022-08-29 00:40 - 2022-08-29 20:55 - 000000000 ____D C:\ProgramData\Malwarebytes
CustomCLSID: HKU\S-1-5-21-3072441309-4198122111-3212295019-1000_Classes\CLSID\{69545769-8D02-4B07-A481-AD374CD8D5D1}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.36.132\psuser_64.dll => Нет файла
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> Нет файла
ContextMenuHandlers1_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers4_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers5_.DEFAULT: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-3072441309-4198122111-3212295019-1000\...\webcompanion.com -> hxxp://webcompanion.com
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

[xDerOmmeNx]

Выполнено

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[xDerOmmeNx]

Выполнено

[Vvvyg]

Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^

Обновите Java/
Удалите программу Кнопка "Яндекс" на панели задач.

Всё на этом.

[xDerOmmeNx]

Большое спасибо за помощь.
Была еще проблема с BSOD, но исправил. Каспер не переносит другие антивирусы).
Даже AD-Awere.
ЗЫ: Решилось удалением всего что связано в Web companion. И убийством bddci.sys
Еще раз низкий поклон за помощь.