Помогите с вирусом

**KidaVon** · 09.12.2023, 12:40

Недавно обнаружил вирус-майнер. Удалил его вручную, чистил реестр. Сейчас внешних признаков майнера нет (температура и быстродействие в норме). Но я подозреваю, что не вычистил вирус до конца. Использовал несколько утилит в безопасном режиме:
KVRT ничего не нашел
Hitman Pro ничего не нашел
Dr.Web CureIt! несколько раз находил одни и те же уязвимости и ничего с ними не сделал
Защитник Windows выдает наличие троянов, но удалить их не может

Также заметил странности в диспетчере устройств (виртуальные контроллеры, которых быть не должно - удалил)
В Realtek audio console появилось странное устройство записи 2023-12-09_19-36-45.jpg

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 09.12.2023, 12:41

Уважаемый(ая) KidaVon, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 09.12.2023, 13:11

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks: \ASUS\P508PowerAgent_sdk - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (file missing)
O22 - Tasks: LaitisSkipUAC - C:\Program Files (x86)\Laitis\Laitis.exe (file missing)
O22 - Tasks: live-website-S-1-5-21-942031009-671617566-1157863101-1001 - C:\Windows\System32\msiexec.exe /i "C:\Users\Vadii\AppData\Local\Programs\04182a9d\c37726ea53.msi" /quiet CHROME=1 (sign: 'Microsoft')
O22 - Tasks: postcard-preferences - C:\ProgramData\pose-plan\bin.exe /H (file missing)
O22 - Tasks: ViGEmBus_Updater - C:\Program Files\Nefarius Software Solutions\ViGEm Bus Driver\ViGEmBus_Updater.exe /silent (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\GameExplorer\{00000000-0000-0000-0000-000000000000}\PlayTasks\0\Launch.lnk"       -> ["C:\Games\Steam\steamapps\common\Just Cause 2\JustCause2.exe"]
>>>  "C:\Users\Vadii\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\postcard-preferences.lnk"        -> ["C:\ProgramData\pose-plan\bin.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**KidaVon** · 09.12.2023, 13:35

Сделал все как написано

**Vvvyg** · 09.12.2023, 15:48

Удалите расширение Блокировщик Рекламы Для Ютуба в MS Edge и Find-it.Pro Search в Яндекс браузере - это adware.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
(svchost.exe ->) (WProxy) [Файл не подписан] C:\Program Files\WProxy\WinProxy\WinProxy.exe
HKLM-x32\...\Run: [Genshin Impact_launcher__1_1] => [X]
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {EB462B4F-C113-4397-A770-4A59AC07E4BC} - System32\Tasks\WProxy\WinProxy => C:\Program Files\WProxy\WinProxy\WinProxy.exe [137216 2023-07-01] (WProxy) [Файл не подписан]
Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR HKU\S-1-5-21-942031009-671617566-1157863101-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKU\S-1-5-21-942031009-671617566-1157863101-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [njhclbnmjgcghngbbbacndfcnbhgomac]
S0 K7FWHlpr; system32\drivers\K7FWHlpr.sys [X]
S0 K7Sentry; system32\drivers\K7Sentry.sys [X]
U0 Partizan; system32\drivers\Partizan.sys [X]
2023-12-09 16:32 - 2023-12-09 16:32 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PRO32TotalSecurity
2023-12-09 16:32 - 2023-12-09 16:32 - 000000000 ____D C:\ProgramData\K7 Computing
2023-12-09 16:32 - 2023-12-09 16:32 - 000000000 ____D C:\Program Files (x86)\K7 Computing
2023-12-08 19:55 - 2023-12-09 01:13 - 000000000 ____D C:\Program Files (x86)\PqwggLaVSvrU2
2023-12-08 19:55 - 2023-12-09 01:13 - 000000000 ____D C:\Program Files (x86)\iJYGMCbEWhmEelnELIR
2023-12-08 19:55 - 2023-12-09 01:13 - 000000000 ____D C:\Program Files (x86)\gJOiriyglmSwC
2023-12-08 19:55 - 2023-12-08 23:46 - 000000000 ____D C:\Program Files (x86)\oLAIjxYxGCUn
2023-12-08 19:52 - 2023-12-09 01:13 - 000000000 ____D C:\Program Files (x86)\McJpufQiU
2023-10-25 18:04 C:\ProgramData\RDP Wrapper
R1 klbackupdisk.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\klbackupdisk.sys [83504 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 klbackupflt.K4W-21-15; C:\Windows\System32\DRIVERS\K4W-21-15\klbackupflt.sys [214568 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 kldisk.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\kldisk.sys [101936 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S0 klelam; C:\Windows\System32\DRIVERS\klelam.sys [53576 2023-10-12] (Microsoft Windows Early Launch Anti-malware Publisher -> AO Kaspersky Lab)
S1 klim6; C:\Windows\system32\DRIVERS\klim6.sys [70680 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 klkbdflt.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\klkbdflt.sys [93720 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 klpd.K4W-21-15; C:\Windows\System32\DRIVERS\K4W-21-15\klpd.sys [55216 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 klpnpflt.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\klpnpflt.sys [77760 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S4 klwfp.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\klwfp.sys [152000 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 klwtp.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\klwtp.sys [394800 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
S1 kneps.K4W-21-15; C:\Windows\system32\DRIVERS\K4W-21-15\kneps.sys [327216 2023-10-12] (Microsoft Windows Hardware Compatibility Publisher -> AO Kaspersky Lab)
ContextMenuHandlers1-x32: [K7Computing.K7AVScanner] -> {FD23B962-BADB-11D7-B0FE-00C026A19B93} => C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSSExt32.dll [2018-02-21] (K7 Computing Pvt Ltd -> K7 Computing Pvt Ltd)
ContextMenuHandlers6-x32: [K7Computing.K7AVScanner] -> {FD23B962-BADB-11D7-B0FE-00C026A19B93} => C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSSExt32.dll [2018-02-21] (K7 Computing Pvt Ltd -> K7 Computing Pvt Ltd)
C:\Program Files (x86)\K7 Computing
C:\Program Files\WProxy
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [688]
FirewallRules: [{3B3688CA-198C-4DE0-BCE4-717B8833C1FF}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{F332B56A-D734-49A0-A766-BDA1F192F7A0}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe (WProxy) [Файл не подписан]
FirewallRules: [{1E22BB9D-EDE0-4E1E-B47C-9D5089710ABC}] => (Allow) 㩃啜敳獲噜摡楩䅜灰慄慴剜慯業杮瑜捯䙜匵獙攮數 => Нет файла
FirewallRules: [{07891E37-34DF-44C8-8457-AE1034B853E6}] => (Allow) 㩃啜敳獲噜摡楩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{4D79613E-0784-4AEB-AA35-431782514EA1}] => (Allow) 㩃啜敳獲噜摡楩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{3227B9CB-E314-46BA-AA13-8B6BA7F0E801}] => (Allow) 㩃啜敳獲噜摡楩䅜灰慄慴剜慯業杮瑜捯兜偤⹵硥e => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
DeleteKey:2023-12-09 16:27 - 2023-12-09 15:46 - 000007917 _____ C:\Windows\system32\Drivers\etc\hosts.old
2023-12-09 16:07 - 2023-12-09 16:17 - 000000000 ____D C:\Users\Vadii\AppData\Local\UnHackMe
2023-12-09 16:04 - 2023-12-09 16:28 - 000000000 ____D C:\Program Files (x86)\UnHackMe
2023-12-09 15:48 - 2023-12-09 15:52 - 000000000 ____D C:\ProgramData\HitmanPro
2023-12-09 15:48 - 2023-12-09 15:48 - 000000000 ____D C:\Program Files\HitmanPro
2023-12-09 15:40 - 2023-12-09 15:57 - 000000000 ____D C:\Users\Vadii\AppData\Local\Malwarebytes
2023-12-09 15:40 - 2023-12-09 15:40 - 000000000 ____D C:\Users\Vadii\AppData\Local\mbam
2023-12-09 15:39 - 2023-12-09 15:39 - 000000000 ____D C:\Program Files\Malwarebytes
2023-12-09 01:05 - 2023-12-09 01:00 - 000007963 _____ C:\Windows\system32\Drivers\etc\2023-12-09_01-05_hosts.bak
2023-12-09 01:00 - 2023-12-09 00:12 - 000008260 _____ C:\Windows\system32\Drivers\etc\2023-12-09_01-00_hosts.bak
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием (если нет этих приложений, в Windows 11 по правой кнопке мыши - "Сжать в ZIP файл") и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.

**KidaVon** · 09.12.2023, 16:18

Скопированный код ведь нужно было вставить в FRST ? Сделано

**Vvvyg** · 09.12.2023, 18:56

Вставлять никуда не нужно, программа берёт скрипт из буфера обмена. И запускать дважды не стоило.

Сделайте это исправление в безопасном режиме:

Код:

Start::
Unlock: HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\K7Computing.K7AVScanner
ContextMenuHandlers6-x32: [K7Computing.K7AVScanner] -> {FD23B962-BADB-11D7-B0FE-00C026A19B93} => C:\Program Files (x86)\K7 Computing\K7TSecurity\K7TSSExt32.dll [2018-02-21] (K7 Computing Pvt Ltd -> K7 Computing Pvt Ltd)
Unlock: C:\ProgramData\K7 Computing
Folder: C:\ProgramData\K7 Computing
2023-12-09 16:32 - 2023-12-09 16:32 - 000000000 ____D C:\ProgramData\K7 Computing
C:\Windows\system32\DRIVERS\K4W-21-15
Reboot:
End::

Новый Fixlog.txt прикрепите.

**KidaVon** · 09.12.2023, 19:20

Сделано

**Vvvyg** · 09.12.2023, 21:38

Всё на этом.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

**KidaVon** · 09.12.2023, 21:57

А это разве нормально? Попытки применить действия к угрозам ничего не меняют. Угрозы просто дублируются

**Vvvyg** · 09.12.2023, 22:50

Это старые угрозы. И Защитник сейчас отключен, активен Dr.Web.

**KidaVon** · 09.12.2023, 23:26

Хорошо, я понял. Спасибо большое

**Vvvyg** · 10.12.2023, 21:10

Примените такое исправление в FRST:

Код:

Start::
StartBatch:
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
endbatch:
Reboot:
End::

Старые записи об угрозах должны быть очищены.

Помогите с вирусом (заявка № 228401)

Опции темы