Решена Подозрение на вирус

[Sjjj6]

Здравствуйте
Вчера решил проверить компьютер на вирусы, т.к. до этого качал некоторые файлы. Использовал RogueKiller, после проверки обнаружил несколько странных папок, такие как Avira, MB3Install, Malwarebytes, clr_optimization и файл PuzzleMedia. Почти все они находятся в папке ProgramData. RogueKiller их удалить не смог, просто выдал ошибку. Dr.Web cureit и AdwCleaner на эти папки так и не пожаловались. Удалить вручную не получилось, не хватает прав и разрешения от "Администраторы". Видел темы других людей, у меня комп пока не тормозит, но возможность этого пугает. Заметил странность, в проводнике пишет, что эти папки были изменены в 2021 году, но несколько месяцев назад при полной проверке RogueKiller не жаловался. На сайт HitmanPro и Dr.web заходить не дает, пишет что соединение со страницей небезопасно. Хелп!

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи
Новую тему создавать не нужно, продолжайте здесь.

 

[Sjjj6]

В теории программа сработала, но перезапуск не потребовался.

 

[Sandor]

Лечить будем в несколько этапов, так что наберитесь терпения.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Sjjj6]

Готово, проблем вроде не возникло.

 

[Sandor]

1. Включите защиту от подделки (была отключена майнером) по этой инструкции:

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

2. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

providing-poultry
RogueKiller version 15.8.0.0

3. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

4. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\ProgramData\postage-producers\bin.exe', '');
 QuarantineFile('C:\Users\Домашний\AppData\Local\Programs\asevcuk865\6cf339f518.msi', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-2022952463-2117478047-2865779082-1001');
 DeleteSchedulerTask('providing-poultry');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
 DeleteFile('C:\ProgramData\postage-producers\bin.exe', '64');
 DeleteFile('C:\Users\Домашний\AppData\Local\Programs\asevcuk865\6cf339f518.msi', '64');
 DeleteFileMask('C:\Program Files\rdp wrapper\', '*', true);
 DeleteDirectory('C:\Program Files\rdp wrapper\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


5. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sjjj6]

providing-poultry был удален в результате работы одной из утилит, с RogueKiller немного сложнее (скрины ниже). Проблем с ClearLNK, AVZ и Farbar не возникло.

 

[Sandor]

Удалите его принудительно через Geek Uninstaller

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2022952463-2117478047-2865779082-1001\...\Run: [Overwolf] => D:\dotaBUFF\Overwolf\OverwolfLauncher.exe -overwolfsilent (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{C5BF2D1A-3928-449C-B7C1-C71000C717F9}] => (Allow) C:\Users\Домашний\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{1068239E-9954-430A-94E8-0A5AB85F04A9}] => (Allow) C:\Users\Домашний\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{DA3C0925-6D03-4272-AF11-07088BA56EBE}] => (Allow) C:\Users\Домашний\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{11F880F1-B6BD-4FCD-8358-29421F47818C}] => (Allow) C:\Users\Домашний\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
  FirewallRules: [{0B0D0B1D-D2BE-4F83-85E1-973B7B70A141}] => (Allow) LPort=3306
  FirewallRules: [{CB10E0B6-2D3F-4797-9442-F6A35B1666E9}] => (Allow) LPort=33060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Свободного места на системном диске маловато, надо бы увеличить:

Drive c: (System) (Fixed) (Total:110.44 GB) (Free:7.65 GB)

 

[Sjjj6]

Не совсем понял зачем было копировать код, но работа сделана. Удалил RogueKiller без проблем.

 

[Sandor]

Код вы копировали в буфер обмена, оттуда он и был выполнен.

Как себя сейчас ведёт система?

 

[Sjjj6]

С аккаунтами все в порядке, подозрительные папки исчезли. Про производительность пока ничего сказать не могу, но на душе теперь спокойнее. Большое спасибо за помощь!)

 

[Sandor]

Отлично!

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Sjjj6]

Готово.

 

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.40.1 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
GitHub Desktop v.3.2.3 Внимание! Скачать обновления
Python 3.11.1 (64-bit) v.3.11.1150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-bit) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9010 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 311 (64-bit) v.8.0.3110.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 99.0.4788.86 v.99.0.4788.86 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Ultimate Ad Eraser 1.0.0.0 v.1.0.0.0 << Скрыта Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Последнюю, виноват, пропустил.

• Выделите следующий код:
  

  Start::
  Ultimate Ad Eraser 1.0.0.0 (HKU\S-1-5-21-2022952463-2117478047-2865779082-1001\...\{256c2444-36f5-4dd3-8d19-1e6f9c9326c0}) (Version: 1.0.0.0 - asevcuk865) Hidden
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Программа появится в перечне установленных. Удалите её.

 

[Sjjj6]

Программа удалена, фикслог ниже.

 

[Sandor]

Читайте Рекомендации после удаления вредоносного ПО