Решена Подхватила вирус, скорее всего майнер

[Mirth]

Добрый день! На днях скачивала сериал с торрента, после чего заметила, что начались фризы в игре, даже диспетчер задач не запускался, приходилось перезагружается. Антивирус не установился до конца, при попытке открыть ярлык писал "Отказано в доступе", удалить его никакими способами не получалось, помог только Malvarebytes Support Tool.
Так же при запуске диспетчера задач нагрузка на ЦП 50-97%, а через секунду падает до нуля. Так же есть постоянная нагрузка на память (12%) по большей части от "Antimalware Service Executable" 107,5МБ, от "Узел службы:локальная система (ограничение сети)" 65 МБ, от проводника, и некоторых других процессов, скриншот прикрепляю.
Сканировала касперским несколько раз, обнаруживал несколько раз вирусы, которые я удаляла, теперь проверка не выдаёт вирусов, но на компьютере теперь при работе с подозрительными папками и процессами возникает сообщение "Недостаточно прав доступа", и "Ограничено в доступе", например, при попытке восстановить систему из контрольной точки.
Дома есть ещё один компьютер, стал вести себя подобным образом, подозреваю, что вирус мог пробраться через роутер.

 

[Sandor]

Здравствуйте!

Да, это майнер.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Mirth]

Спасибо, сделала, вот результаты.
Скажите, второй компьютер пока тоже просканировать логгером?

 

[Mirth]

Здравствуйте!

Да, это майнер.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Спасибо, сделала, вот результаты.
Скажите, второй компьютер пока тоже просканировать логгером?

 

[Sandor]

Хорошо, уже должно полегчать.

"Пофиксите" в HijackThis только следующее:

O25 - WMI Event:  (no consumer) - bacru3 - Event="__InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event:  (no consumer) - tosa3 - Event="__InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

второй компьютер пока тоже просканировать логгером?

Да, только во избежание путаницы создайте для него вторую тему.

 

[Mirth]

Хорошо, уже должно полегчать.

"Пофиксите" в HijackThis только следующее:

O25 - WMI Event:  (no consumer) - bacru3 - Event="__InstanceModificationEvent WITHIN 10600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",
O25 - WMI Event:  (no consumer) - tosa3 - Event="__InstanceModificationEvent WITHIN 10500 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.



Да, только во избежание путаницы создайте для него вторую тему.

Сделала. Только при запуске сканирования FBST ненадолго появилось окно с ошибкой, но потом сканирование началось.

 

[Sandor]

Не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы. Пишите в нижнем поле быстрого ответа. К тому же, мы с вами тут пока одни

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\55.0.3.0\GoogleDriveFS.exe --startup_mode (Нет файла)
  HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\55.0.3.0\GoogleDriveFS.exe --startup_mode (Нет файла)
  HKU\S-1-5-21-4095260060-3246937665-1378544929-1002\...\MountPoints2: {96d60eb1-76f9-11e9-9272-408d5c3292b2} - "D:\setup.exe"
  HKU\S-1-5-18\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\55.0.3.0\GoogleDriveFS.exe --startup_mode (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  C:\Users\Mirth\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
  U1 aswbdisk; отсутствует ImagePath
  U3 avgbdisk; отсутствует ImagePath
  2022-09-25 22:02 - 2022-09-25 22:02 - 000000000 ____D C:\Users\Mirth\AppData\Local\Tempzxpsignfaeda6f922c15967
  2022-09-25 22:02 - 2022-09-25 22:02 - 000000000 ____D C:\Users\Mirth\AppData\Local\Tempzxpsignc88367e53b07ae46
  2022-09-25 22:02 - 2022-09-25 22:02 - 000000000 ____D C:\Users\Mirth\AppData\Local\Tempzxpsignad027dabdc2b39b2
  Менеджер браузеров (HKLM-x32\...\{C187DB08-7705-4616-834B-87B3087AE698}) (Version: 3.0.7.830 - Яндекс) Hidden
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
  AlternateDataStreams: C:\Users\Mirth\AppData:SYSD [148]
  FirewallRules: [{6B7EB329-2F76-4835-9C24-70DD6E75BEC7}] => (Allow) C:\Users\Mirth\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{2865D658-389B-4732-A700-AAD09F04F773}] => (Allow) C:\Users\Mirth\MediaGet2\mediaget.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В Диспетчере устройств видны несколько, для которых не установлены драйверы.
Скачайте недостающее с сайта производителя материнской платы.

 

[Mirth]

Хорошо
Сделала

 

[Sandor]

Ещё одну дополнительную проверку сделаем:

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Mirth]

По этой ссылке выдает ошибку и с телефона и с компьютера. Попробую скачать на другом сайте и сделать.

 

[Mirth]

На официальном сайте такая же ошибка при нажатии на загрузку, но с vpn получилось скачать.
Установила. Ярлык не появился, хотя при установке указывала создать ярлык. Не запускается по вызову приложения из папки установки, выдает ошибку на первом фото. Так же попыталась запустить процесс через службы, выдает ошибку "Отказано в доступе" на 2 фото.

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[Mirth]

Сделала

 

[Sandor]

Как-то некорректно он у вас установился.

Деинсталлируйте нежелательные:

VdhCoApp 1.6.0
Менеджер браузеров

Пробуем переустановить Malwarebytes сначала таким способом:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Сообщите результат.

 

[Mirth]

Сначала во время удаления выдал окно, но все же удалил, но перезагрузку не предложил, перезагрузила сама и запустила support tool ещё раз на удаление.
После этого при поиске остались эти файлы.

 

[Sandor]

Ещё раз сделайте, пожалуйста, новые логи FRST.txt и Addition.txt. Дочистим "вручную".

 

[Mirth]

Спасибо большое!
Делаю

 

[Mirth]

Готово

 

[Sandor]

Деинсталлируйте нежелательное ПО:

Менеджер браузеров

Предварительно выгрузите его правой кнопкой из трея (если запущен).


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  ProxyServer: [S-1-5-21-4095260060-3246937665-1378544929-1002] => 139.162.182.113:80
  C:\Users\Mirth\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
  C:\Users\Mirth\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMSwissArmy => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMSwissArmy => ""="Driver"
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Пробуйте установить версию, которая есть в наших ресурсах.

 

[Mirth]

Удалила менеджер, в его папке был только ярлык.
Так же выполнила другие инструкции, но забыла отключить антивирус, прошу прощения.
Компьютер перезагрузился, прикрепляю файл.
Может стоит отключить антивирус и проделать все ещё раз?