Решена Backdoor:MSIL/DCRat!MTB не получается удалить

[MinHo]

Случайно скачал экзешник, взломали почту, телегу, один из акков в стиме.
Касперский ничего не нашел, сегодня defender выдал кучу Virus:Win32/Mikcer.B, в безопасном режиме вроде удалось пофиксить.
Но защитник продолжает выдавать backdoor, удалить или отправить в карантин не может, при этом автономное сканирование не работает.
Отключились изоляция ядра и обработчик безопасности, включить не удается.

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Advanced SystemCare
Driver Booster 10
IObit Driver Booster 9.5.0.237

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

 

[MinHo]

Добрый день, вот

 

[Sandor]

"Пофиксите" в HijackThis только следующие строки:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\WindowsPowerShell\v1.0
O7 - TroubleShooting: (EV) HKCU\..\Environment: [PATHEXT] = .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
O22 - Tasks: Driver Booster Scheduler - C:\Program Files (x86)\IObit\Driver Booster\10.3.0\Scheduler.exe /scheduler
O22 - Tasks: Driver Booster SkipUAC (Min) - C:\Program Files (x86)\IObit\Driver Booster\10.3.0\DriverBooster.exe /skipuac (file missing)
O22 - Tasks: Driver Booster Update - C:\Program Files (x86)\IObit\Driver Booster\10.3.0\AutoUpdate.exe /auto (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[MinHo]

Сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-1696641329-3832162011-4057639666-1001\...\MountPoints2: {1d691625-94e8-11ed-a2f5-70cf4978e4e9} - "D:\startme.exe" 
  HKU\S-1-5-21-1696641329-3832162011-4057639666-1001\...\MountPoints2: {91caf6ae-d362-11ec-a25c-14cb19679994} - "D:\setup.EXE" /AUTORUN
  HKU\S-1-5-21-1696641329-3832162011-4057639666-1001\...\MountPoints2: {a3af14c8-b785-11ec-a214-14cb19679994} - "D:\AutoRun.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
  2023-03-23 14:09 - 2022-04-06 20:30 - 000000000 ____D C:\Users\Min\AppData\Roaming\IObit
  2023-03-23 14:09 - 2022-04-06 20:25 - 000000000 ____D C:\Users\Min\AppData\LocalLow\IObit
  2023-03-23 14:08 - 2022-04-06 13:44 - 000000000 ____D C:\Program Files (x86)\IObit
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2022-11-20] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  cmd: ECHO Y|CHKDSK C: /F
  cmd: pushd c:\windows\system32
  cmd: bcdedit.exe /set {default} recoveryenabled yes
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Скрипт может выполняться длительное время (до получаса), дождитесь окончания.
Компьютер будет перезагружен автоматически. Во время перезагрузки будет запущена проверка жесткого диска на ошибки, не прерывайте.

Подробнее читайте в этом руководстве.

 

[MinHo]

Сделано

 

[Sandor]

Хорошо. Что сейчас с проблемой?

 

[MinHo]

Доброе утро! Сообщение о обнаружении пропало, кажется теперь все в порядке.
Спасибо большое!

 

[Sandor]

Отлично! Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[MinHo]

Вот

 

[akok]

Исправьте о возможности и удачи.

--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.34 v.6.1.34 Внимание! Скачать обновления
Node.js v.18.13.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.75.0 Внимание! Скачать обновления
FileZilla 3.62.2 v.3.62.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.23.4763 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.106.0.4 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Рекомендуется деинсталляция
CCleaner v.6.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Reg Organizer, версия 9.11 v.9.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
MiPony 3.2.2 v.3.2.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

[MinHo]

Хорошо, спасибо!