Решена Как защититься от стиллера и майнера на компьютере

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  IFEO\dismHost.exe: [Debugger] *
  IFEO\EOSNOTIFY.EXE: [Debugger] *
  IFEO\InstallAgent.exe: [Debugger] *
  IFEO\MusNotification.exe: [Debugger] *
  IFEO\remsh.exe: [Debugger] *
  IFEO\SIHClient.exe: [Debugger] *
  IFEO\UpdateAssistant.exe: [Debugger] *
  IFEO\UsoClient.exe: [Debugger] *
  IFEO\WaaSMedic.exe: [Debugger] *
  IFEO\WaasMedicAgent.exe: [Debugger] *
  IFEO\Windows10Upgrade.exe: [Debugger] *
  IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
  Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [682]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [682]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
  AlternateDataStreams: C:\Users\User\Application Data:NT [40]
  AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


@usufb, не нужно писать в чужой теме. Создайте свою и выполните правила.

 

[dofus]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  IFEO\dismHost.exe: [Debugger] *
  IFEO\EOSNOTIFY.EXE: [Debugger] *
  IFEO\InstallAgent.exe: [Debugger] *
  IFEO\MusNotification.exe: [Debugger] *
  IFEO\remsh.exe: [Debugger] *
  IFEO\SIHClient.exe: [Debugger] *
  IFEO\UpdateAssistant.exe: [Debugger] *
  IFEO\UsoClient.exe: [Debugger] *
  IFEO\WaaSMedic.exe: [Debugger] *
  IFEO\WaasMedicAgent.exe: [Debugger] *
  IFEO\Windows10Upgrade.exe: [Debugger] *
  IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
  Policies: C:\Users\User\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [682]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [682]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [682]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [682]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
  AlternateDataStreams: C:\Users\User\Application Data:NT [40]
  AlternateDataStreams: C:\Users\User\Application Data:NT2 [682]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [682]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


@usufb, не нужно писать в чужой теме. Создайте свою и выполните правила.

Сделал.

 

[Sandor]

Проблема решена?

 

[dofus]

Проблема решена?

Вроде бы. Но меня по прежнему беспокоит утечка данных, которая произошла. Что это могло быть? Можно ли провести какие-то финальные действия для закрепления, что-ли, не знаю как назвать, чтобы еще раз прошерстить систему и убедится что ничего нет?

 

[Sandor]

Да, можем сделать дополнительную проверку.

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[dofus]

Да, можем сделать дополнительную проверку.

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Это нормально что установка длится долго?

 

[Sandor]

На дисках критически мало свободного места. Не исключено, что в этом и причина.

Оставим Malwarebytes, сделаем такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

 

[dofus]

На дисках критически мало свободного места. Не исключено, что в этом и причина.

Оставим Malwarebytes, сделаем такую проверку:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Во время сканирования нужен интернет?

 

[Sandor]

Да.

 

[dofus]

Оно?

 

[Sandor]

Да, еще один файл, который возможно вызывает нежелательную рекламу удалён.
Если система работает нормально, будем завершать.

 

[dofus]

Да, еще один файл, который возможно вызывает нежелательную рекламу удалён.
Если система работает нормально, будем завершать.

Хорошо, спасибо большое.

 

[Sandor]

Итак:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[dofus]

Итак:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 16.01.2023 16:31:47
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 10.41is-15.01.2023
___________________________________________________________________________

Windows 10(6.3.17763) (x64) EnterpriseS Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 19.09.2021 13:23:51
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 7893342 мин.
Статус лицензии: Office 19, Office19ProPlus2019MSDNR_Retail edition Windows находится в режиме уведомления
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 201457 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [79.5 Гб] Занято: [69.2 Гб] Свободно: [10.3 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.772.17763.0 Внимание! Скачать обновления
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба остановлена
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба остановлена
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.4.10.144 v.4.4.10.144 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - en-us v.16.0.11929.20300 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.11929.20300 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.11929.20300 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru.proof v.16.0.11929.20300 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
FileZilla 3.62.0 v.3.62.0 Внимание! Скачать обновления
Steam v.2.10.91.91
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
Telegram Desktop v.4.5.3
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.2.0.5 Внимание! Скачать обновления
hide.me VPN 3.13.1 v.3.13.1
Radmin VPN 1.3.3 v.1.3.4568.3
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45776 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent 3.5.5 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.v5.00.2344, 09.11.2021 Внимание! Скачать обновления
PotPlayer
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.371 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 94.0.4606.38 v.94.0.4606.38 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.108.0.5359.126 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
Malwarebytes Service (MBAMService) - Служба остановлена
C:\Program Files\Windows Defender\MsMpEng.exe v.4.18.1807.18075
C:\Program Files\Windows Defender\NisSrv.exe v.4.18.1807.16384
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Loaris Trojan Remover 3.1.72 v.3.1.72 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
StopUpdates10 Guard (SU10Guard) - Служба работает
C:\Windows\Control_OSServices\UpdateCenter\SU10Guard.exe v.1.0.1.20
----------------------------- [ End of Log ] ------------------------------

 

[dofus]

.

 

[Sandor]

Перечисленное в вашем предыдущем сообщении по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО