поймал вирус, закрывает программы

[kokon389]

Здравствуйте, поймал какую то дрянь закрывает все программы и тормозит систему, кое как смог запустить AVZ и собрать логи.
подозрение на эти файлы, так хочется самому их грохнуть но опасаюсь что комп не включится, а у меня сессия.
Вчера скачал активатор, вроде бы все нормально было, даже проверил потом еще раз AVZ, а сегодня началось.


>>> C:\Program Files\rdp wrapper\rdpwrap.dll ЭПС: подозрение на Файл с подозрительным именем (CH PF)
Файл успешно помещен в карантин (C:\Program Files\rdp wrapper\rdpwrap.dll)
>>> C:\ProgramData\microsoft\win.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\microsoft\win.exe)
>>> C:\ProgramData\reaitekhd\taskhost.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\reaitekhd\taskhost.exe)
>>> C:\ProgramData\windowstask\amd.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\windowstask\amd.exe)
>>> C:\ProgramData\windowstask\appmodule.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\windowstask\appmodule.exe)
>>> C:\ProgramData\windowstask\audiodg.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\windowstask\audiodg.exe)
>>> C:\ProgramData\windowstask\microsofthost.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\windowstask\microsofthost.exe)
>>> C:\ProgramData\windows tasks service\winserv.exe ЭПС: подозрение на Файл с подозрительным именем (CH)
Файл успешно помещен в карантин (C:\ProgramData\windows tasks service\winserv.exe)
Проверка завершена

[Info_bot]

Уважаемый(ая) kokon389, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

По правилам раздела нужны логи Autologger.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Затем - логи по правилам делайте.

[kokon389]

вот еще логи автологером удалость все таки собрать

- - - - -Добавлено - - - - -

По правилам раздела нужны логи Autologger.

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Затем - логи по правилам делайте.

прошу прощения что долго, с трудом запустился, только безопасный режим помог.

[Vvvyg]

Autologger запускали всё же после AV block remove, как я просил, или до?
Если до, нужны новые логи.

[kokon389]

Autologger запускали всё же после AV block remove, как я просил, или до?
Если до, нужны новые логи.

я прогнал вчера еще cureit, но похоже не всю заразу вычистил. новые логи приложил.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - (disabled) HKCU\..\Run-: [CCleaner Smart Cleaning] = "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O22 - Tasks: \Microsoft\Windows\Windows Error Reporting\SystemInfo - C:\Users\kokon\AppData\Roaming\sysinfotool\sitool.exe -st -tu 6 (file missing)
O22 - Tasks: KMSAuto - C:\Windows\KMSAuto.exe /win=act /ofs=act (file missing)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>> [modified] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spotify\Spotify.lnk"  -> ["C:\Users\kokon\AppData\Roaming\Spotify\Spotify.exe"]
>>> [modified] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spotify\Удаление.lnk"           -> ["C:\Users\kokon\AppData\Roaming\Spotify\unins000.exe"]
>>>  "C:\Users\Public\Desktop\iTop VPN.lnk"        -> ["C:\Program Files (x86)\iTop VPN\iTopVPN.exe"]
>>>  "C:\Users\kokon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk"          -> ["D:\steam\steam.exe"]
>>>  "C:\Users\kokon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7111c0ce965b7246\Battle.net.lnk"        -> ["C:\Program Files (x86)\Battle.net\Battle.net.exe"]
>>>  "C:\Users\dikoz\Desktop\uTorrent Web.lnk"     -> ["C:\Users\dikoz\AppData\Roaming\uTorrent Web\utweb.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTop VPN\iTop VPN.lnk"          -> ["C:\Program Files (x86)\iTop VPN\iTopVPN.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Badlion Client.lnk"   -> ["C:\Users\kokon\AppData\Local\Programs\Badlion Client\Badlion Client.exe"]
>>>  "C:\Users\kokon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Direct Commander.lnk"        -> ["C:\Users\kokon\AppData\Local\direct-commander\Direct Commander.exe"]
>>>  "C:\Users\kokon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\iTop VPN.lnk"          -> ["C:\Program Files (x86)\iTop VPN\iTopVPN.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mine-imator\Mine-imator.lnk"    -> ["C:\Users\kokon\Mine-imator\Mine-imator.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mine-imator\Uninstall Mine-imator.lnk"    -> ["C:\Users\kokon\Mine-imator\Uninstall Mine-imator.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm\Heroes of the Storm.lnk"        -> ["C:\Program Files (x86)\Heroes of the Storm\Heroes of the Storm.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TLauncher\TLauncher.lnk"        -> ["C:\Users\kokon\AppData\Roaming\.minecraft\TLauncher.exe"]
>>>  "C:\Users\kokon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex LLC\Direct Commander.lnk"    -> ["C:\Users\kokon\AppData\Local\direct-commander\Direct Commander.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks X\BlueStacks X.lnk"  -> ["C:\Program Files (x86)\BlueStacks X\BlueStacks X.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks X\Uninstall BlueStacks X.lnk"  -> ["C:\Program Files (x86)\BlueStacks X\BlueStacksXUninstaller.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[kokon389]

готово

[Vvvyg]

Проблема уже решена, дочистим некоторый мусор.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Systemrestore: On
CreateRestorePoint:
Task: {1EDE9430-BF76-409F-95FE-C3F773AE4817} - \KryptexElevationFromStartup -> Нет файла <==== ВНИМАНИЕ
Task: {40FE8F37-8FBC-4AAD-9ABD-E3FB8147F3ED} - \KryptexElevation -> Нет файла <==== ВНИМАНИЕ
Task: {4A058508-2B53-4F1E-8B38-A2DEEA5D13D7} - \iTop BF Task (One-Time) -> Нет файла <==== ВНИМАНИЕ
Task: {CDFB1609-0307-4A48-A076-E995B108A950} - \iTop XMS Task (One-Time) -> Нет файла <==== ВНИМАНИЕ
2024-06-18 17:42 C:\Program Files\ReasonLabs
2024-06-18 17:42 C:\Program Files (x86)\Wise
HKU\S-1-5-21-910305759-3699691609-2058092186-1001\...\StartupApproved\Run: => "CCleaner Smart Cleaning"
HKU\S-1-5-21-910305759-3699691609-2058092186-1001\...\StartupApproved\Run: => "Kryptex"
FirewallRules: [{0051E431-23C0-4422-98CF-D520E1EADC02}] => (Allow) C:\Users\kokon\Downloads\kmsauto_lite_v1.3.1 (1)\KMSAuto_Lite_v1.3.1\KMSAuto.exe => Нет файла
FirewallRules: [{973D392C-78E4-434A-B254-B635D7DD887A}] => (Allow) C:\Users\kokon\Downloads\kmsauto_lite_v1.3.1 (1)\KMSAuto_Lite_v1.3.1\KMSAuto.exe => Нет файла
FirewallRules: [{E6115F0F-2B3A-4D83-8DE5-F4D9E0F5521D}] => (Allow) C:\Users\kokon\Downloads\kmsauto_lite_v1.3.1 (1)\KMSAuto_Lite_v1.3.1\KMSAuto.exe => Нет файла
FirewallRules: [{0CA46E5D-C0D2-4DFE-83B9-A49681B13F12}] => (Allow) C:\Users\kokon\Downloads\kmsauto_lite_v1.3.1 (1)\KMSAuto_Lite_v1.3.1\KMSAuto.exe => Нет файла
FirewallRules: [{842EBBF0-B4EB-4D4B-8DBF-46EAB217B2D4}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.110.3218.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{E636BE77-C86F-4E15-95B3-0BD7B062C000}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.111.3607.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{1B80677E-5527-4EDB-9E5F-0C092DE7B9AF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3206.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{B841708B-DE04-4AD1-B081-BEF4744BACB5}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.112.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{527B5667-BB49-436B-9326-1BC2EB98E093}] => (Allow) C:\Users\kokon\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{B33BEA20-F0F0-4123-B781-D2C95A068330}] => (Allow) C:\Users\kokon\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{544D25E4-C072-49BE-AE31-DF7F96D25CA9}] => (Allow) E:\GameCenter\VKPlayCloud\VKPlayCloud.exe => Нет файла
FirewallRules: [{C6CE15DE-15B4-4947-987F-D4B131D76033}] => (Allow) E:\GameCenter\VKPlayCloud\VKPlayCloud.exe => Нет файла
FirewallRules: [TCP Query User{72F99E14-2638-49C6-97EB-3C9D8DEB05D0}C:\users\kokon\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\kokon\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{C98C95CF-1AF5-43E8-809D-9BD25DFB64E1}C:\users\kokon\appdata\local\gamecenter\gamecenter.exe] => (Block) C:\users\kokon\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [{D1A29A32-A48F-4325-A3ED-43DCD60E0730}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.113.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{EB123984-23DA-40E0-9B9B-C9832DC1E0EF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.114.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{D2AB4FE2-F052-43FB-9E01-D1265C991561}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.115.3217.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{073D625B-4157-40EB-930C-129BC391411E}D:\maple\jre\bin\javaw.exe] => (Allow) D:\maple\jre\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{26E5F4CD-6126-492D-ABB4-100F079AFD6F}D:\maple\jre\bin\javaw.exe] => (Allow) D:\maple\jre\bin\javaw.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[kokon389]

готово

[Vvvyg]

Oracle VM VirtualBox 7.0.12 v.7.0.12 Внимание! Скачать обновления
OpenVPN 2.6.8-I001 amd64 v.2.6.801 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 401 v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-i586.exe - Windows Offline)^

Обновите эти приложения, есть серьёзные уязвимости.

Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления

Обязательно обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

На этом - всё.

[kokon389]

Большое спасибо, закину на развитие проекта.