Решена Компьютер заразился вирусом

[RAS9000]

Здравствуйте уважаемые Хелперы. Проблема появилась дней 10 назад. Компьютер вдруг перестал откликаться на мои действия. Завис. Для него это было совершенно не характерно. Компьютер новый (около 6-7 мес., ОС также стоит около 6-7 мес).
Начал проверять антивирусами. Разными. Нашел два трояна, удалил. Сейчас проблема в следующем:
1. Аваст и еще одна программа (уже не вспомню какая, много я их перебрал для борьбы с вирусом за это время) пишут что есть подмена ДНС сервера.
2. WinPatrol время от времени пишет о появляющихся в папке Темп неизвестных мне приложениях которые хотят прописаться в автозапуск.
3. Ни с того ни с сего, пропало около 18 ГБ дискового места на диске С.
Я на форуме давно, но подзабыл как собрать логи. И найти соответствующую тему подсказку - не получается. Напомните пожалуйста.
Заранее благодарю.

 

[Sandor]

Здравствуйте!

Напомните пожалуйста

Пожалуйста - Правила оформления запроса о помощи

 

[RAS9000]

Спасибо, еще раз. Прикрепляю логи.

 

[Sandor]

Несколько одновременно работающих антивирусов не усиливают, а ослабляют защиту.
У вас видны:

Avast Free Antivirus
Kaspersky

Вижу, что они установлены сегодня. Один оставьте, один удалите.

Также удалите

Spy Emergency 2023-25.0.950
WinPatrol

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[RAS9000]

Вижу, что они установлены сегодня. Один оставьте, один удалите.

Касперский был установлен давно. Просто сегодня он перестал нормально работать и я его переустановил.

Несколько одновременно работающих антивирусов не усиливают, а ослабляют защиту.

Спасибо, буду знать.

Также удалите

Сейчас удалю.

 

[RAS9000]

Прикрепляю отчеты.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  U1 aswbdisk; отсутствует ImagePath
  2023-09-25 04:01 - 2023-09-25 04:01 - 000000000 ___HD C:\$AV_ASW
  2023-09-24 23:47 - 2023-09-25 13:41 - 000000000 ____D C:\ProgramData\Avast Software
  AV: ZoneAlarm NextGen (Disabled - Up to date) {5E1A3CFB-A963-5D99-A23F-7BA03B432F37}
  FW: ZoneAlarm NextGen Firewall (Enabled) {841A2C1E-F526-E32F-8E57-7FBF8B0698E4}
  FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  AlternateDataStreams: C:\Users\Руслан\Downloads\avast_free_antivirus_setup_final.exe:MBAM.Zone.Identifier [137]
  AlternateDataStreams: C:\Users\Руслан\Downloads\avast_free_antivirus_setup_offline.exe:MBAM.Zone.Identifier [139]
  AlternateDataStreams: C:\Users\Руслан\Downloads\cav_installer.exe:MBAM.Zone.Identifier [158]
  AlternateDataStreams: C:\Users\Руслан\Downloads\cfw_installer (1).exe:MBAM.Zone.Identifier [158]
  AlternateDataStreams: C:\Users\Руслан\Downloads\cfw_installer (2).exe:MBAM.Zone.Identifier [158]
  AlternateDataStreams: C:\Users\Руслан\Downloads\cfw_installer.exe:MBAM.Zone.Identifier [158]
  AlternateDataStreams: C:\Users\Руслан\Downloads\ciscleanuptool_x64 (1).exe:MBAM.Zone.Identifier [169]
  AlternateDataStreams: C:\Users\Руслан\Downloads\ciscleanuptool_x64.exe:MBAM.Zone.Identifier [123]
  AlternateDataStreams: C:\Users\Руслан\Downloads\EmsisoftEmergencyKit.exe:MBAM.Zone.Identifier [125]
  AlternateDataStreams: C:\Users\Руслан\Downloads\EssentialPIM.exe:MBAM.Zone.Identifier [283]
  AlternateDataStreams: C:\Users\Руслан\Downloads\Evernote-10.61.4-win-ddl-stage-20230829093334-c5f25cd742c827a190975c8ce28aff0a4d9d4e87-setup.exe:MBAM.Zone.Identifier [334]
  AlternateDataStreams: C:\Users\Руслан\Downloads\kaspersky4win202121.14.5.462ru_42131.exe:MBAM.Zone.Identifier [141]
  AlternateDataStreams: C:\Users\Руслан\Downloads\MarsNotebook25b2_x64.exe:MBAM.Zone.Identifier [271]
  AlternateDataStreams: C:\Users\Руслан\Downloads\OperaSetup.exe:MBAM.Zone.Identifier [298]
  AlternateDataStreams: C:\Users\Руслан\Downloads\RogueKiller_portable64.exe:MBAM.Zone.Identifier [127]
  AlternateDataStreams: C:\Users\Руслан\Downloads\tdsskiller.exe:MBAM.Zone.Identifier [161]
  AlternateDataStreams: C:\Users\Руслан\Downloads\Todoist-1.0.8.exe:MBAM.Zone.Identifier [250]
  AlternateDataStreams: C:\Users\Руслан\Downloads\UltraAdwareKiller.exe:MBAM.Zone.Identifier [122]
  AlternateDataStreams: C:\Users\Руслан\Downloads\wiznote-windows-x86-2022-06-01.exe:MBAM.Zone.Identifier [267]
  AlternateDataStreams: C:\Users\Руслан\Downloads\Yandex.exe:MBAM.Zone.Identifier [453]
  StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
    del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  EndBatch:
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[RAS9000]

Выполнил. Отчет прикладываю.

 

[Sandor]

Ни с того ни с сего, пропало около 18 ГБ дискового места на диске С.

Куда пропало место удобно посмотреть с помощью этой программы.

Какие сейчас проблемы остались?

 

[RAS9000]

Уважаемый хелпер Sandor, были ли обнаружены вирусы или их следы, во время проверки?
Как быть с тем, что сообщал Аваст о подмене ДНС сервера?

Куда пропало место удобно посмотреть с помощью этой программы.

Какие сейчас проблемы остались?

Я уже разобрался, где эти файлы. В папках Касперского: C:\ProgramData\Kaspersky Lab\AVP21.14\QB и C:\ProgramData\Kaspersky Lab\AVP21.3\QB (в каждой из этих папок есть ряд файлов, и по одному, которые весят по 19 гб)
Насколько я понял это карантин Касперского. Только почему его объем так увеличился и что с этим делать - непонятно.

 

[Sandor]

AVP21.3 и AVP21.14 - это разные версии продукта. Советую деинсталлировать, перезагрузить компьютер и пройтись этой утилитой.

были ли обнаружены вирусы или их следы, во время проверки?

Нет.

сообщал Аваст о подмене ДНС сервера?

Возможно это было его ложное срабатывание (или, как у них это принято в последних версиях - подначивание для перехода на платную версию).

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[RAS9000]

Спасибо. Прикрепляю отчет.
П.С. Ругается на ССleaner.
П.С. 2. Утилита не помогла. Удалил этот гигантский файл Касперского вручную.

 

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Evernote 10.61.4 v.10.61.4 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.174.0820.0003 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.10 (64-разрядная) v.6.10.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.9.6 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP v.5.11.2421 Внимание! Скачать обновления
K-Lite Mega Codec Pack 17.4.5 v.17.4.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.20.013.20066 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.7.5.734 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.16 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

 

[RAS9000]

Уважаемый хелпер Sandor, благодарю вас за советы и помощь.
Malwarebytes ругается на Юторрент (торрент клиент), кстати во время проверок многие антивирусы ругались на Юторрент и удаляли его. Как же торрентом пользоваться?
Отчет Malwarebytes прилагаю. Удалить Юторрент?

 

[Sandor]

Всё верно. Само по себе использование торрента не является нарушением, однако огромное количество вредоносных программ попадает в систему пользователя именно оттуда. Происходит это обычно при установке некоего репака или активатора.
Если вы это понимаете, либо игнорируйте сообщения антивируса относительно торрент клиента, либо добавьте его в исключения.

 

[RAS9000]

Уважаемый хелпер Sandor, посмотрите пожалуйста отчет Mb о проверке, есть ли там подозрительные (не характерные для торрент клиента, но возможно маскирующиеся под него) файлы?
Меня напрягает файл: C:\USERS\Руслан\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46900.EXE - является ли он реальным обновлением или же это потенциально нежелательная программа? Или навскидку не скажешь?

 

[Sandor]

Я посмотрел, прежде, чем отвечать

Один из этих просмотров мой.
Файл нормальный.

 

[RAS9000]

П.С. Есть ли сейчас возможность официально приобрести расширенную версию Malwarebytes, возможно нужно использовать ВПН?

 

[RAS9000]

Я посмотрел, прежде, чем отвечать


Посмотреть вложение 97705

Один из этих просмотров мой.
Файл нормальный.

Спасибо!

 

[Sandor]

Насколько мне известно, они ввели санкции для РФ и действительно, обычным способом не скачать и не обновить.

Официальный сайт - Cyber Security Software & Anti-Malware | Malwarebytes
Форум - Malwarebytes Forums