Решена Вирус подменил сертификаты Windows

Статус
В этой теме нельзя размещать новые ответы.

DanKud

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Помогите пожалуйста решить проблему, никакие советы из интернета по удалению и сбросу сертификатов не помогают. Подцепил кучу вирусов, еле-еле все подчистил в безопасном режиме бесплатной утилитой от Касперского и софтом от Malwarebytes, но есть главная проблема, что вирус добавил какие-то левые сертификаты в Windows, которые я тоже удалил (один был под именем что-то типа zZdk3klewr0fkw, а второй Plumix.com). Теперь при попытке зайти на некоторое сайты, в первую очередь на ресурсы google, все браузеры пишут, что сертификат Plumix.com самоподписанный и к нему нет доверия. При этом после некоторых манипуляций он стал редиректит на http://google.ga но при этом в любом случае нет доступа к gmail.com и нигде не отображается ReCaptcha. Подскажите пожалуйста как побороть эту подмену сертификата вирусом? Так же не работает служба "Центр обновления" судя по всему потому что нет доступа к сайту Microsoft опять же из-за неправильного сертификата. И самой службы вообще в списке приложения services нет, но при этом она запускается из командной строки через net stat. Никакие средства по восстановлению компонентов Windows из-за этого не помогают. Логи прилагаю.
 

Вложения

Sandor

Ассоциация VN/VIP
Преподаватель
Сообщения
4,747
Реакции
1,731
Баллы
503
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
"Пофиксите" в HijackThis:
Код:
O1 - Hosts: Reset contents to default
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:

DanKud

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:


"Пофиксите" в HijackThis:
Код:
O1 - Hosts: Reset contents to default
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Сделал все, что нужно. Логи прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,383
Реакции
13,011
Баллы
2,203
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

DanKud

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
Логи от FRSC прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,383
Реакции
13,011
Баллы
2,203
TeamViewer - ваше?
C:\Windows\system32\rrrr.txt - проверьте содержимое файла, что там находится.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\Run: [World of Tanks] => D:\Games\WargamingGameUpdater.exe [3139936 2018-06-25] (Wargaming.net)
    HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {6a47771d-1da6-11e9-8351-c04a00017970} - "G:\setup.exe" 
    HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {7548454e-183a-11e9-8346-c04a00017970} - "I:\Install.exe" 
    HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {f7d734bb-1dab-11e9-8354-c04a00017970} - "G:\sources\setup.exe" 
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    2019-01-11 23:34 - 2019-01-11 23:34 - 000000128 _____ C:\Users\Все пользователи\appdata.dat
    2019-01-11 23:34 - 2019-01-11 23:34 - 000000128 _____ C:\ProgramData\appdata.dat
    2019-01-11 23:31 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\wrcygu3554c
    2019-01-11 23:26 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\jl2qxledoiz
    2019-01-11 23:26 - 2019-01-11 23:26 - 000140800 _____ C:\Users\Alexvel\AppData\Local\installer.dat
    2019-01-11 23:20 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\5dw2p3bvx3g
    2019-01-11 23:18 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zgfd4liwjxv
    2019-01-12 00:06 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\y4tqw0ddtv5
    2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zh0sqlgbxjq
    2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\eam3ur2eytl
    2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\ct14x0dz3wx
    2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\oqt254uj1dp
    2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\gbqy0nkwnjb
    2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\d2dogt0ltn0
    2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\0prm1bm1egj
    2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\u2of0lipm1i
    2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\ki4kikdutfe
    2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\jcx1vqvwe4m
    2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\qlxuzc1hq04
    2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\2vutdgdyio0
    2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\14424ssdg0r
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zj5uzrfxwwy
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\tfdgkxs5120
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\mtfxciqe3p3
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\m5monvkm5mj
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\j30meqeft0c
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\isqo1h1jqao
    2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\f2u2qzq4wak
    Folder:C:\Users\Все пользователи\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
    Folder:C:\Users\Все пользователи\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
    Folder:C:\ProgramData\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
    Folder:C:\ProgramData\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
    2019-01-01 18:45 - 2019-01-01 18:45 - 000000000 ____D C:\Users\Все пользователи\LpgGfxGjetDHvVVB
    2019-01-01 18:45 - 2019-01-01 18:45 - 000000000 ____D C:\ProgramData\LpgGfxGjetDHvVVB
    BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [748]
    AlternateDataStreams: C:\Windows\Cmicnfgp.ini.cfg:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\Cmicnfgp.ini.imi:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\cmudaxp.ini:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\difxapi.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\Xonar DG Audio.ico:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system\Cmicnfgp.ini:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system\CmiFltr.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system\CmiFltr.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system\HsSrv64.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system\HsSrv642.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\cmasiopx.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\cmasiopx.ini:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\Cmeauoxy.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Cmeauoxy.exe:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\CmiCnfgp.cpl:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\CmiInstallResAll64.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\cmudaxp.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\cmudaxp.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\Cm_Oal.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\dns-sd.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\OpenAL32.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\PresentationNative_v0300.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaErHdl8.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaErHdlr.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\system32\SaImgFl8.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaImgFlt.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaMinDr8.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaMinDrv.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\SaSegFlt.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ssb3mci.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ssb3mci.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ssb3ml6.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Ssdevm64.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Ssusbp64.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\usbaaplrc.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ux003ci.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ux003ci.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\ux003lm.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\wrap_oal.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\SysWOW64\cmasiop.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\cmasiop.ini:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\CmiFltr.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\CmiFltr.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\Cmpaoxy.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\Cm_Oal.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\dns-sd.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\HsSrv.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\HsSrv2.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\OpenAL32.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\SysWOW64\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\PresentationNative_v0300.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\Ssdevm.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\SysWOW64\Ssusbpn.dll:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\SysWOW64\VmixP8.dll:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\SysWOW64\wrap_oal.dll:$CmdTcID [130]
    AlternateDataStreams: C:\Windows\system32\Drivers\cmudaxp.sys:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Drivers\cmudaxp.sys:$CmdZnID [26]
    AlternateDataStreams: C:\Windows\system32\Drivers\usbaapl64.sys:$CmdTcID [64]
    AlternateDataStreams: C:\Windows\system32\Drivers\usbscan.sys:$CmdTcID [64]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [748]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [748]
    AlternateDataStreams: C:\Users\Alexvel\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
    AlternateDataStreams: C:\Users\Alexvel\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Alexvel\Application Data:NT2 [748]
    AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
    AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:NT2 [748]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [748]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [748]
    AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [748]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [748]
    FirewallRules: [{C95BCFC4-93AF-4AAD-BC63-961C99387AE4}] => (Allow) C:\Users\Alexvel\AppData\Local\Temp\csrss\lsa64.exe No File
    FirewallRules: [{038F04BE-76DE-42AC-AAD6-FFF5F6503E8A}] => (Allow) C:\Users\Alexvel\AppData\Local\Temp\csrss\lsa64.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ - запустите стандартную проверку и логи тоже приложите.
 

DanKud

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
TeamViewer мой.
C:\Windows\system32\rrrr.txt удалил, там был код в JSON-формате с какими-то рекламными ссылками, судя по всему от Web Companion, который был удален ранее.

Все восстановилось и заработало в нормальном режиме. Огромное спасибо за помощь!

Логи прилагаю. Если можно подскажите как восстановить компоненты, которые SFC выдало в логе и в чем все же была причина проблем с входом на сервисы Google, Microsoft и им подобные?
 

Вложения

akok

Команда форума
Администратор
Сообщения
16,383
Реакции
13,011
Баллы
2,203
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\Users\Все пользователи\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
    2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\Users\Все пользователи\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
    2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\ProgramData\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
    2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\ProgramData\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

чем все же была причина проблем с входом на сервисы Google, Microsoft и им подобные?
В настройке сети, были прописаны IP
Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34
1548331815405.png

Пароли смените они могли быть перехвачены.

Если можно подскажите как восстановить компоненты, которые SFC
Если правильно прочел лог, то все восстановилось.
 

akok

Команда форума
Администратор
Сообщения
16,383
Реакции
13,011
Баллы
2,203
Ну и финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

DanKud

Новый пользователь
Сообщения
5
Реакции
0
Баллы
1
В настройке сети, были прописаны IP
Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34
Ясно. И ни один использованный автоматический софт не нашел этой, казалось бы банальной, причины :)

Еще раз спасибо за помощь. Все рекомендацию выполню.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу