Решена Очистка системы от вируса

[GreenDev]

Приветствую всех! 12 января этого года, решил я скачать Stronghold, быстрее всего загрузка удалась с этого ресурса: Stronghold Crusader HD v1.41a
игруша так и не установилась, установилась какая-то igrovaya замаскированная под инсталлер игры, которую я поспешно снёс. Энтузиазм мой подупал, понял я, что скачал
и установил не игру, а какую-то шляпу. Всё это время компьютер не подавал никаких признаков для подозрений. Только сегодня я обнаружил для себя, что видеокарта
работает, ощутимо громче обычного, в автозапуске у меня стоит MSI Afterburner, который и позволил обнаружить подозрительную деятельность в системе.
При открытии MSI Afterburner в которой отображется зарузка видеокарты последние несколько минут, я заметил, что нагрузка моментально снижалась до 0.
Открыв диспетчер задач, я увидел один системный процесс, который грузит проц. на 100%, но через мгновение пропадает. Погуглив про вирусы-майнеры
решил посмотрел ролик на youtube, и тут мой браузер закрылся, попытавшись ещё пару раз открыть данное видео, у меня также закрывался браузер.
Решил выловить злодея через диспетчер, открыл его и свернул, и его через несколько секунд неведомая мне сила его закрыла. Сказать я охренел - ничего не сказать, очень неприятно.
Сайты антивирусов открываться отказывались, большинство форумов тоже, удалось скачать где-то Curelt, причём не с первого раза, и тут мне повезло, т.к скачался он с неймом Curelt (1),
С помощью него удалось удалить 7 вирусов, в точности описаных здесь https://www.safezone.cc/resources/av-block-remover-avbr.224/
Антивирусные сайты стали нормально открываться, но ваш форум, да и многие другие сайты, продолжали выдавать ошибку чёт-там dns, 404, и отправляли на https://dns.google/get (запрашиваемый сайт)
Понял я, что насерил мне этот вирус в систему таки конкретно, Пришлось разбираться дальше, тут я и наткнулся на этот форум, где вы кому-то помогали уже.
Скачал AV block remover, как там советовали, прогнал его что-то он там подкрутил, теперь ваш форум открывается нормально, да и вообще вроде как всё нормально.
На странице с блокером есть рекомендация прикрепить логи, прикрепляю.

 

[Sandor]

Здравствуйте!

Дочистим некоторые хвосты.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM Group Policy restriction on software: C:\WINDOWS\SystemApps\Microsoft.MicrosoftEdge_* <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: C:\Program Files (x86)\Microsoft\Edge* <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKU\S-1-5-21-3414404479-2554104539-2855111432-1001 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKU\S-1-5-21-3414404479-2554104539-2855111432-1001 Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
  IFEO\MicrosoftEdge.exe: [Debugger] C:\WINDOWS\System32\systray.exe
  IFEO\msedge.exe: [Debugger] C:\WINDOWS\System32\systray.exe
  AutoConfigURL: [{950B17EA-1873-4476-A049-997D8F948255}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\config-prefs.js [2019-05-04] <==== ВНИМАНИЕ (Указывает на *.cfg файл)
  FF ExtraCheck: C:\Program Files\mozilla firefox\firefox.cfg [2019-05-04] <==== ВНИМАНИЕ
  FF NetworkProxy: Mozilla\Firefox\Profiles\ttviwilx.default-release -> socks", "127.0.0.1"
  FirewallRules: [{1F49180D-A508-4A3D-B098-3713FDC741C3}] => (Allow) LPort=59250
  FirewallRules: [{4875100F-FDCD-44A8-A8F9-648E40C69F37}] => (Allow) LPort=5000
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[GreenDev]

Весь порядок действий выполнил. Лог-файл прикрепляю.

 

[Sandor]

Как себя сейчас чувствует система?

 

[GreenDev]

Отлично! Только вот к Mozilla вернулись обновления, хотя я их помню жёстко отключал, ещё со времён обновлений ради обновлений, когда после обновы интерфейс менялся и приходилось старые привычные функции искать, сейчас вроде этим они не балуются поэтому пускай будут.

 

[Sandor]

Хорошо, тогда в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[GreenDev]

Так.

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.6.4 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Visio 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком.
Python 2.7.17 (64-bit) v.2.7.17150 Внимание! Скачать обновления
Node.js v.12.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual Studio Code (User) v.1.43.0 Внимание! Скачать обновления
FileZilla Client 3.46.3 v.3.46.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.50 Внимание! Скачать обновления
WinRAR 5.70 (64-разрядная) v.5.70.0 Внимание! Скачать обновления
Far Manager 3 x64 v.3.0.5454 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.1.6 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2023.2 Внимание! Скачать обновления
Viber v.19.0.0.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45146 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.100.0.1185.44 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.55 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО

 

[GreenDev]

Странно у меня уже давно нет WhatsApp, значить где-то в реестре осталась соответствующая запись?

 

[Sandor]

Да, возможно.

Запустите frst64.exe, в поле Search введите

WhatsApp

нажмите Искать в реестре (Registry Search). Итоговый файл SearchReg.txt приложите к следующему сообщению.

 

[GreenDev]

Что-то нашёл.

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  [-HKEY_USERS\S-1-5-21-3414404479-2554104539-2855111432-1001\SOFTWARE\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\3be27399_0]
  DeleteValue:HKEY_USERS\S-1-5-21-3414404479-2554104539-2855111432-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts|whatsapp_whatsapp
  [-HKEY_USERS\S-1-5-21-3414404479-2554104539-2855111432-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhatsApp]
  [-HKEY_USERS\S-1-5-21-3414404479-2554104539-2855111432-1001\SOFTWARE\Classes\whatsapp]
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[GreenDev]

Прикрепляю.

 

[Sandor]

Для проверки сделайте ещё раз лог SecurityCheck.

 

[GreenDev]

Прикрепляю. Заметил интересную особенность, редко конечно, но бывает переходишь с одного сайта на другой, а он упрямо не хочет открываться,
приходиться несколько раз обновить страницу и после этого он открывается, может быть конечно это моя излишняя подозрительность после инциндента,
не знаю надо ещё понаблюдать.

 

[Sandor]

Упоминание Whatsapp исчезло. Остальное постарайтесь исправить.

переходишь с одного сайта на другой, а он упрямо не хочет открываться

Почистите браузеры:

https://www.safezone.cc/threads/kak-vernut-parametry-brauzerov-k-znachenijam-po-umolchaniju.17232/

 

[GreenDev]

Спасибо огромное за помощь! Даже не вериться, что ещё есть энтузиасты на просторах интернета, которые имеют такой серьёзный подход к делу, готовые бескорыстно помогать людям.

 

[GreenDev]

Складывается ощущение, что какую программу из неофициального источника не возьми, она с большой вероятностью будет заражена,
раньше мне кажется этого было меньше, сейчас и найти где скачать проблема, и всё кешит вирусами.