Решена Не открывается avbr после загрузки новой версии

[sasorisama55]

Здравствуйте, очень неудобно создавать тему ещё раз, снова получил майнер, та же проблема, закрывается диспетчер задач, создался новый пользователь John, логи приклепляю, avbr не открывается, просит загрузить новую версию, хотя качаю с вашего сайта, не открывается что в безопасном режиме, что под рандомным именем, везде требует новую версию. Ещё раз извиняюсь за беспокойство.

 

[thyrex]

Скачайте актуальную версию Autologger и переделайте логи

 

[sasorisama55]

Так верно?

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFile('Service\winserv.exe', '');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFile('Service\winserv.exe', '64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'x64');
 ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[sasorisama55]

Всё сделал

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  S3 TermService; C:\WINDOWS\System32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 TermService; C:\WINDOWS\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\Norton
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\MB3Install
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\AVAST Software
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\ProgramData\360safe
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\SpyHunter
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\COMODO
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\AVG
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files\AVAST Software
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files (x86)\AVG
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\Program Files (x86)\360
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\KVRT2020_Data
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 __SHD C:\KVRT_Data
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 ____D C:\WINDOWS\speechstracing
  2023-04-24 01:41 - 2023-04-24 01:41 - 000000000 ____D C:\Users\Stepan\AppData\Roaming\RMS_settings
  2023-04-24 01:40 - 2023-04-24 01:40 - 000000000 ___HD C:\Users\John
  2023-04-24 01:40 - 2023-04-24 01:40 - 000000000 ____D C:\ProgramData\System32
  2023-04-24 19:43 - 2023-03-09 04:19 - 000000000 ___HD C:\Program Files\RDP Wrapper
  John (S-1-5-21-1454062164-1046134565-1247174524-1003 - Limited - Enabled)
  ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
  ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk:ACE144A8A7 [2586]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спец 2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\спецификация 2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Stepan\Desktop\факс письмо.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  FirewallRules: [TCP Query User{64E7436F-6CCC-4841-9304-F457AD820F54}C:\users\stepan\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\stepan\appdata\roaming\utorrent\utorrent.exe => Нет файла
  FirewallRules: [UDP Query User{8DEC76FB-AC2D-4E9A-ACDD-86ABF92C54EC}C:\users\stepan\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\stepan\appdata\roaming\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{ADC07728-4B88-403C-989B-7C18391251C9}] => (Block) LPort=139
  FirewallRules: [{B95F8FFC-B5B1-446B-85E4-41338118127B}] => (Block) LPort=445
  FirewallRules: [{FC3C6F5B-0662-40B3-B632-1FA95D5A3AC0}] => (Block) LPort=445
  FirewallRules: [{7AE17EF0-E61C-4172-88EB-C1EB405E07F1}] => (Block) LPort=139
  FirewallRules: [{A36ED93D-0BBD-4300-AC50-9D6A477EE7C9}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

++ нужны новые логи FRST

 

[sasorisama55]

Сделал, но компьютер автоматически не перезагрузился, только браузер закрылся

 

[akok]

судя по логу, удалил, то что нужно. Что сейчас с проблемой?

 

[sasorisama55]

Вроде бы всё в порядке, антивирусы запускаются, диспетчер не вылетает, john из пользователей пропал.

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[sasorisama55]

Сделано

 

[Sandor]

По возможности исправьте:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.26.259 v.4.5.26.259 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Внимание! Скачать обновления
TeamViewer v.15.4.8332 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 18.01 (x64) v.18.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.50 (32-разрядная) v.5.50.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Telegram Desktop v.4.4.1 Внимание! Скачать обновления
Viber v.11.6.0.51 Внимание! Скачать обновления
Skype, версия 8.25 v.8.25 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-i586.exe - Windows Offline)^
Java 8 Update 231 v.8.0.2310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-i586.exe - Windows Offline)^
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.70.610.g4585142b Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.3.2.806 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Голосовой помощник Алиса v.5.0.0.1901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО