Залетел вирус с помощью установщика (торрент)

**Ulefon4uk** · 25.07.2021, 08:50

Приветствую! Хотел было порадоваться жизни и вспомнить былые времена (старая игрушка, которую уже нигде не приобретёшь), ну и скачал. Установщик выглядит нормально и так далее, но установилось-то не то, что я хотел. Как результат - имеется папка в ProgramData и задачи в планировщике заданий (их не видно)
Про папку - называется RealtekHD, откуда в свою очередь запускаются файлы taskhost.exe, taskhostw.exe и ещё пара файлов, убиваются сами при запуске диспетчера задач. Диспетчер задач в свою очередь автоматически закрывается спустя минуту-полторы, а файлы эти хоть и выключаются, запускаются повторно. Доступ к папке получил, но файлов всё равно не видно. Как их удалить - непонятно. Владельца получил через TAKEOWN. Удалил внутренности через del в командной строке. Мне интересно, что нибудь ещё от него осталось или нет?
P.S. RealtekHD у меня никогда не было.
UPD. Папка не единственная, причём увидел это - C:\ProgramData\windowstask\WinRing0x64.sys, скорее всего очередной загрузчик троянов. Доступ получить к нему невозможно, как и удалить. Внутренности папок C:\ProgramData\windowstask\ и C:\ProgramData\windows\ - удалил все файлы, что указаны в отчёте во вкладке "Подозрительные объекты", за исключением указанного выше.
UPD2. Попробовал через AVZ выполнить скрипт на удаление задач в Планировщике и закинуть в карантин вышеуказанный файл, закончилось BSOD.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.07.2021, 08:57

Уважаемый(ая) Ulefon4uk, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 26.07.2021, 12:11

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям.
Файл AV_block_remove.log из папки с программы прикрепите к своему сообщению.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\117\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk"      -> ["C:\Users\117\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\117\Desktop\автоклацкер\Tor Browser\Start Tor Browser.lnk"        -> ["C:\Users\117\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\Users\117\Desktop\автоклацкер\Start Tor Browser.lnk"          -> ["C:\Users\117\Desktop\Tor Browser\Browser\firefox.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amnesia - The Dark Descent\Запустить игру.lnk"      -> ["C:\Amnesia - The Dark Descent\Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amnesia - The Dark Descent\Руководство.lnk"         -> ["C:\Amnesia - The Dark Descent\Documentation\Русский\Руководство\index.htm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amnesia - The Dark Descent\Лицензионное соглашение с конечным пользователем.lnk"  -> ["C:\Amnesia - The Dark Descent\Documentation\Русский\RussianLicense.rtf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amnesia - The Dark Descent\Remember - Short Story Collection.lnk"       -> ["C:\Amnesia - The Dark Descent\Remember - Short Story Collection.pdf"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Amnesia - The Dark Descent\Version 1.3.1 changelog.lnk"       -> ["C:\Amnesia - The Dark Descent\Documentation\Changelog.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minimal ADB and Fastboot\Minimal ADB and Fastboot.lnk"        -> ["C:\Minimal ADB and Fastboot\cmd-here.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minimal ADB and Fastboot\Uninstall Minimal ADB and Fastboot.lnk"        -> ["C:\Minimal ADB and Fastboot\unins000.exe"]
>>>  "C:\Users\117\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Tanks_RU\World of Tanks RU.lnk"    -> ["D:\World_of_Tanks_RU\wgc_api.exe"  =>> --open]
>>>  "C:\Users\117\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Tanks_RU\Удалить World of Tanks RU.lnk"      -> ["D:\World_of_Tanks_RU\wgc_api.exe"  =>> --uninstall]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk"        -> ["D:\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe"]
>>>  "C:\Users\117\Desktop\автоклацкер\Epic Games Launcher.lnk"        -> ["D:\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MOP030B\Serious Sam - The First Encounter\Serious Sam - The First Encounter.lnk"  -> ["D:\Serious Sam - The First Encounter\Bin\SeriousSam.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MOP030B\Serious Sam - The First Encounter\Деинсталлировать Serious Sam - The First Encounter.lnk"     -> ["D:\Serious Sam - The First Encounter\unins000.exe"]
>>>  "C:\Users\117\Desktop\автоклацкер\asdas\Wallpaper Engine Pkg To Zip.exe - Ярлык.lnk"  -> ["C:\Users\117\Desktop\asdas\Wallpaper Engine Pkg To Zip.exe"  =>> -pkg2zip scene.pkg kill.zip]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Бастион Тьмы\Удалить Бастион Тьмы.lnk"    -> ["D:\bastion\unins000.exe"]
>>>  "C:\Users\117\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\Wargaming.net Game Center.lnk"    -> ["C:\ProgramData\Wargaming.net\GameCenter\wgc.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\TLOTR - War of the Ring\Настройки.lnk"          -> ["C:\LOTR - War of the Ring\tru.exe"  =>> -setup]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\StartupApproved\Run: [DevEject] = C:\Users\117\AppData\Local\Programs\DevEject\deveject.exe /a (file missing) (2020/11/11)
O4 - HKCU\..\StartupApproved\Run: [EpicGamesLauncher] = D:\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe -silent (file missing) (2021/03/10)
O4 - HKCU\..\StartupApproved\Run: [Kryptex] = C:\Users\117\AppData\Local\Programs\kryptex-app\Kryptex.exe --from-startup (file missing) (2021/02/20)
O4 - HKCU\..\StartupApproved\Run: [Wargaming.net Game Center] = C:\ProgramData\Wargaming.net\GameCenter\wgc.exe --background (file missing) (2021/01/06)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Ulefon4uk** · 26.07.2021, 13:51

Прикрепляю как есть.

**Vvvyg** · 26.07.2021, 15:17

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\Run: [DevEject] => "C:\Users\117\AppData\Local\Programs\DevEject\deveject.exe" /a
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\Run: [Wargaming.net Game Center] => "C:\ProgramData\Wargaming.net\GameCenter\wgc.exe" --background
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\Run: [Kryptex] => "C:\Users\117\AppData\Local\Programs\kryptex-app\Kryptex.exe" --from-startu
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\Run: [EpicGamesLauncher] => "D:\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {2e1136a5-610a-11eb-901d-40b076aa68e8} - "E:\BBCAuto.exe" 
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {3dc63182-8c4a-11eb-9024-40b076aa68e8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {aab3d267-0662-11eb-9000-dcf505495fac} - "G:\setup.exe" 
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {c2cc350f-3dd6-11eb-9015-40b076aa68e8} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {cb474722-3e1c-11eb-9017-40b076aa68e8} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\MountPoints2: {f56c68ee-a71b-11eb-9026-40b076aa68e8} - "E:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {00F2C820-9A79-4296-AB2F-141BB7665F01} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> Нет файла <==== ВНИМАНИЕ
Task: {15AF2504-C99E-4061-B52D-054BB9E1314B} - \Microsoft\Windows\Wininet\Taskhost -> Нет файла <==== ВНИМАНИЕ
Task: {4102F1C1-12FA-4706-B3AA-6DA36BD0D2E3} - \Microsoft\Windows\Wininet\Cleaner -> Нет файла <==== ВНИМАНИЕ
Task: {4511172B-CC93-43C4-A174-2A192E95B190} - \Microsoft\Windows\Wininet\Taskhostw -> Нет файла <==== ВНИМАНИЕ
Task: {BE3BF9E8-F318-4A73-BFDE-422968E5B3F2} - \Microsoft\Windows\Wininet\RealtekHDControl -> Нет файла <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; \??\C:\ProgramData\WindowsTask\WinRing0x64.sys [X]
AV: avast! Antivirus (Disabled - Out of date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
FW: avast! Antivirus (Disabled) {2F96FC65-F07D-9D1E-5A6E-3DA5C487EAF0}
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
CustomCLSID: HKU\S-1-5-21-3179549152-3998463370-37697744-1001_Classes\CLSID\{E72B5585-CFF2-94AF-EADE-11BFC7E001F3}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => Нет файла
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\StartupApproved\Run: => "Kryptex"
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\StartupApproved\Run: => "DevEject"
HKU\S-1-5-21-3179549152-3998463370-37697744-1001\...\StartupApproved\Run: => "Adguard"
FirewallRules: [TCP Query User{C50A5D8A-F64F-4F84-BCFE-8E833B038783}C:\tom clancys splinter cell blacklist\src\system\blacklist_dx11_game.exe] => (Allow) C:\tom clancys splinter cell blacklist\src\system\blacklist_dx11_game.exe => Нет файла
FirewallRules: [UDP Query User{BB2B7745-5D2C-422D-B827-9E99CDE063A4}C:\tom clancys splinter cell blacklist\src\system\blacklist_dx11_game.exe] => (Allow) C:\tom clancys splinter cell blacklist\src\system\blacklist_dx11_game.exe => Нет файла
FirewallRules: [TCP Query User{05973D97-CC93-49D6-B665-931835C9BFBA}D:\tera\client\binaries\tera.exe] => (Allow) D:\tera\client\binaries\tera.exe => Нет файла
FirewallRules: [UDP Query User{7BC2592C-6DAD-4696-AD31-ECC8954EB1D4}D:\tera\client\binaries\tera.exe] => (Allow) D:\tera\client\binaries\tera.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

Залетел вирус с помощью установщика (торрент) (заявка № 227013)

Опции темы