Проблема со скрытыми вирусами

[byehorken]

Doctor web cireit - нашел вирус csrss.exe в папке Windows/rss/csrss.exe я нажал удалить и вроде все решилось, проверил автозагрузку через команду msconfig, там увидел странный элемент(его отключил) автозагрузки которого раньше не было, назывался он SpringSea и имел тот же путь Windows/rss/csrss.exe папку он эту не видит даже при включенной опции отображения скрытых папок, так же если проследовать по расположению в реестере, тоже нечего, вируса уже нет и это ошибка какая то или он все же ещё остался просто прячется?

ВТОРАЯ ПРОБЛЕМА
Malwarebytes - после сканирования нашел Trojan.MulDrop7 и Trojan.Dropper а так же trojan.downloader нажал удалить в отчете выдал что проигнорировано пользователем, до этой проверки компьютер вел себя странно такое ощущение что он что то постоянно пытался загрузить, в любой момент могли быть подвисания, в диспетчере задач появлялись процессы с разными названиями по типу 4bq231fgvbs.exe которые занимали по 428 кб памяти и которые не возможно было завершить.
После очистки через Malwarebytes проблема заметно осталась, иногда открывается браузер Explorer на стартовой странице, бывает что закрываются браузера сами по себе или сворачиваются либо разворачиваются папки так же осталось проблема с появлением в диспетчере задач процессов но теперь они появляются на пару секунд и исчезают и при появлении компьютер подвисает.

Это все что я нашел, возможно что то ещё есть

Csrss получил при скачивании руссификатора для игры

Trojan.MulDrop7 - Trojan.Dropper - trojan.downloader появились после того как под видео на ютубе перешел на ссылку которая раза 3 меня кинула на разные сайты и резко закрылась

Буду благодарен за помощь

ДОБАВЛЯЮ - так же нашел Trojan.Glupteba.E

[Info_bot]

Уважаемый(ая) byehorken, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Деинсталлируйте программы:
McAfee Security Scan Plus
MediaGet
Кнопка "Яндекс" на панели задач
Менеджер браузеров

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteService('TRIXX');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Manager','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MediaGet2','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpringSea','x64');
 DeleteFileMask('C:\Windows\rss','*',true);
 DeleteDirectory('C:\Windows\rss');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[byehorken]

Что было сказано то я нашел и удалил.
Код вставил все успешно прошло комп перезагрузился и дальше сделал все как сказано

- - - - -Добавлено - - - - -

iU5Pnem18Sk.jpg

oJxhGPPIEHA.jpg

И ещё выдавать вот это начал

[Vvvyg]

Система - сборка какая-то? Windows Fast Mode на 7-ке по умолчанию не настроен.

Отключите меню загрузки средства восстановления в Windows 7

Уберите второй вариант загрузки Windows

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2742123051-2427123671-1317164571-1000\...\MountPoints2: {21071f08-c350-11ea-9ccc-1c6f65c1eed8} - G:\HiSuiteDownLoader.exe
Task: {3DA324C7-215E-480F-A47A-06AF883B116F} - \ScheduledUpdate -> Нет файла <==== ВНИМАНИЕ
CHR DefaultSearchKeyword: Profile 1 -> hi.ru
CHR DefaultSearchURL: Profile 1 -> hxxp://hi.ru/search/?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [echeiocnbggcacegkopjcllmaglbocni]
CHR Extension: (Hi.Ru) - C:\Users\айпятый\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\echeiocnbggcacegkopjcllmaglbocni [2021-07-17]
C:\Users\айпятый\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\echeiocnbggcacegkopjcllmaglbocni
S2 EZCastService; C:\Program Files (x86)\EZCast\EZCastService.exe -e [X]
HKU\S-1-5-21-2742123051-2427123671-1317164571-1000\...\ChromeHTML: ->  <==== ВНИМАНИЕ
ContextMenuHandlers1: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> Нет файла
ContextMenuHandlers2: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> Нет файла
ContextMenuHandlers6: [ESET Smart Security - Context Menu Shell Extension] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} =>  -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Удалите остатки ESET Smart Security с помощью ESET Uninstaller.

Сообщите, что с проблемами.

[byehorken]

С этой ошибкой когда запускаешь и вылазит окно диспетчер загрузки виндувс удалось самому справиться, винда лицензионная и каким то образом вырубилась цифровая подпись я так понял самой лицензии винды ну может это не так но все же проблемы нет теперь загрузка нормальная
в строке cmd прописал это и перезагрузил комп
bcdedit.exe
bcdedit /set testsigning on
bcdedit /set nointegritychecks on

И насчет того что вы мне скинули, код я так понял его тоже нужно в AV вставлять через выполнение скрипта просто я вставил и выдало ошибку
ошибка в позиции 1:1 что с ним делать?

[Vvvyg]

И насчет того что вы мне скинули, код я так понял его тоже нужно в AV вставлять через выполнение скрипта просто я вставил и выдало ошибку
ошибка в позиции 1:1 что с ним делать?

Сделать нужно дословно то, что написано. AVZ там не упоминается.

винда лицензионная

Ой ли? Версия Ultimate самая дорогая, мало кто её покупал

Дочистите после исправлений в FRST остатки Eset и сделайте такой лог.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[byehorken]

Проделал все как было сказано

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 18.0.0\FFExt\light_plugin_firefox\addon.xpi => не найдено
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Автоматическое обновление отключено

Давно пора обновить систему по полной, через автоматическое обновление, а лучше - с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический фикс от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

Да и другихкрайне важных хотфиксов не хватает:

HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

Устанавливайте, это только критические, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.

Контроль учётных записей пользователя отключен (Уровень 1)

Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

Adobe Flash Player 32 ActiveX v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 NPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

Flash Player удалите, он с незакрытыми уязвимостями и реально практически уже не нужен.

Это лучше удалить:

Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Менеджер браузеров v.3.0.7.830 << Скрыта Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

[byehorken]

Обновился через UpdatePack7R2 - все нормально
HotFix- любой скачиваю при запуске установщика выдает "Установщик обнаружил ошибку 0x80070424
Флеш плеер удалил, юнити удалил

Менеджер Браузеров удалял через Удаление программ и находил в папках так же удалял, но он появился опять и при нажатии Удалить через удаление программ выдает ошибка пакета установщиков Windows.

ДОБАВЛЯЮ
в автозгрузках до сих пор сидит McAfee security scan plus (отключенный) по указанному пути в папке StartUP пусто, нашел в реестере R0WImV3zCf4.jpg

[Vvvyg]

Я же сразу написал:

Деинсталлируйте программы:
McAfee Security Scan Plus

Но хвосты могут остаься, это не страшно.

Менеджер Браузеров удалите с помощью Geek Uninstaller.

После установки UpdatePack хотфиксы ставить не нужно, они в него включены.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[byehorken]

ну хорошо пускай остануться файлы от McAfee если это не страшно

Нажимаю принудительное удаление менеджера браузеров, показывает что остались некоторые части программы, 54 элемента в реестере мне просто нажать удалить? страшного в этом нечего?

ещё вопрос в диспетчере задач Syzs_dll_svr.exe это нормально?

[Vvvyg]

Нажимаю принудительное удаление менеджера браузеров, показывает что остались некоторые части программы, 54 элемента в реестере мне просто нажать удалить? страшного в этом нечего?

Да, удалите.

ещё вопрос в диспетчере задач Syzs_dll_svr.exe это нормально?

Это от Tencent Gameloop.

[byehorken]

Все супер, большое спасибо