Решена Помогите пожалуйста, словил вирус.

[Koldyn]

Здравствуйте, у меня вот такая проблема. Пару дней назад я пока делал курсовик по учебе случайно поймал вирус. По началу, думал что он отредактировал реестр и вывел показ защищенных системных папок. И помимо этого с панели управления вообще пропала вкладка параметры папок. Попытался вылечить. Антивирус обнаружил кучу файлов Win32.Virut.5 (которые были безопасные, или вообще создавались копии папок которые почему то были exe файлами), и несколько троянов. После очистки вернул в редакторе реестра все на место, и вроде все было нормально, и вот сейчас опять вот такая фигня. Логи прикрепляю.

 

[regist]

Более десяти лет наверно такой "красоты" в логах не видел . Интересно, где вы эту древность откопали.
В папке Автологера поищите файл "report2.log" и прикрепите его к сообщению.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 QuarantineFile('c:\users\1\appdata\local\csrss.exe','');
 QuarantineFile('c:\users\1\appdata\local\lsass.exe','');
 QuarantineFile('c:\users\1\appdata\local\services.exe','');
 QuarantineFile('c:\users\1\appdata\local\winlogon.exe','');
 DeleteFile('c:\users\1\appdata\local\winlogon.exe','32');
 DeleteFile('c:\users\1\appdata\local\services.exe','32');
 DeleteFile('c:\users\1\appdata\local\lsass.exe','32');
 DeleteFile('c:\users\1\appdata\local\csrss.exe','32');
 ExecuteRepair(8);
 ExecuteRepair(13);
 ExecuteRepair(16);
 ExecuteRepair(17);
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger.

 

[regist]

+ Скачайте AutorunsVTchecker. Распакуйте и запустите.

 

[thyrex]

@regist тут
В работе - Поймал вирус taskhost тоже был какой-то ошметок

 

[Koldyn]

в общем, архив и файл report2 я прикрепляю, но дальше возникла странная ситуация, при попытке после выполнения скрипта выполнить повторную проверку автологгером, пк просто перезапустился на каком то этапе, и соответственно никакого архива с логами не создалось

 

[Koldyn]

Ну и пока сейчас ждал ответа просматривал разделы вашего сайта, у меня пк опять перезагрузился сам по себе.

 

[regist]

Проверьте эти файлы на virustotal

D:\Documents\Desktop\AutoLogger.exe

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.

 

[regist]

в общем, архив и файл report2 я прикрепляю, но дальше возникла странная ситуация, при попытке после выполнения скрипта выполнить повторную проверку автологгером, пк просто перезапустился на каком то этапе, и соответственно никакого архива с логами не создалось

Этот репорт вы взяли уже после попытки второй раз собрать лог?

+ Вот такой лог есть?
D:\Documents\Desktop\AutoLogger\HijackThis\HiJackThis_debug.log
Если да, то его тоже прикрепите.

 

[Koldyn]

Этот репорт вы взяли уже после попытки второй раз собрать лог?

+ Вот такой лог есть?
D:\Documents\Desktop\AutoLogger\HijackThis\HiJackThis_debug.log
Если да, то его тоже прикрепите.

Да репорт я отправил после второй попытки. Прикрепляю ссылку, а вот лог Hijack слишком большой, пришлось в архив запаковать чтобы сжать. VirusTotal

 

[Koldyn]

И кстати, попробовал ради интереса собрать автологгером лог в безопасном режиме винды, так он на этапе работы CheckBrowserLNK просто завис на 0% и все.

 

[regist]

В папке

D:\Documents\Desktop\AutoLogger\CheckBrowsersLNK\

если есть какие-то логи, то просьба их тоже запакуйте и прикрепите.

 

[Koldyn]

сделано

 

[regist]

Попробуйте, а эта версия нормально отработает? https://www.safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/version/1158/download

+ Попробуем по другому собрать логи
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.​
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[regist]

Попробуйте, а эта версия нормально отработает? https://www.safezone.cc/resources/check-browsers-lnk-by-dragokas-regist.122/version/1158/download

Уже вышло обновление, так что можете просто свежей Check Browsers' LNK by Dragokas & regist

 

[Koldyn]

Вроде собрал лог UVS

 

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.14 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemRoot%\EKSPLORASI.EXE
   zoo D:\DOCUMENTS\DESKTOP\AUTOLOGGER\AUTOLOGGER.EXE
   dirzooex %SystemRoot%
   ;---------command-block---------
   bl 483FCF432217D71544246AA760D98CDC 42687
   zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\BRENGKOLANG.COM
   delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\BRENGKOLANG.COM
   zoo D:\DOCUMENTS\DESKTOP\DESKTOP.EXE
   delall D:\DOCUMENTS\DESKTOP\DESKTOP.EXE
   zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\SMSS.EXE
   delall %SystemDrive%\USERS\1\APPDATA\LOCAL\SMSS.EXE
   apply
   
   regt 2
   regt 3
   regt 28
   regt 29
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

+ Копию карантина загрузите к примеру на Яндекс диск или на любой нормальный файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС.

 

[Koldyn]

Отправил архив по форме и в лс

 

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.14 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   bl 483FCF432217D71544246AA760D98CDC 42687
   zoo D:\DOCUMENTS\DESKTOP\AUTOLOGGER\AUTOLOGGER.EXE
   delall D:\DOCUMENTS\DESKTOP\AUTOLOGGER\AUTOLOGGER.EXE
   zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\BRENGKOLANG.COM
   delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\BRENGKOLANG.COM
   zoo D:\DOCUMENTS\DESKTOP\DESKTOP.EXE
   delall D:\DOCUMENTS\DESKTOP\DESKTOP.EXE
   zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\SMSS.EXE
   delall %SystemDrive%\USERS\1\APPDATA\LOCAL\SMSS.EXE
   zoo %SystemRoot%\SHELLNEW\SEMPALONG.EXE
   delall %SystemRoot%\SHELLNEW\SEMPALONG.EXE
   zoo %SystemRoot%\EKSPLORASI.EXE
   delall %SystemRoot%\EKSPLORASI.EXE
   zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
   delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
   delref %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
   apply
   
   regt 2
   regt 3
   regt 14
   regt 28
   regt 29
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

Потом свежий лог соберите.

 

[Koldyn]

Автологгер после переустановки заработал) на всякий случай кидаю 2 лога от автологгера и uvs

 

[regist]

Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteSchedulerTask('{B0D57DA6-7835-4B20-B224-C18A41209661}');
 DeleteSchedulerTask('{D510F209-1854-4E15-9B7A-CC37CBC4E52C}');
 DeleteSchedulerTask('iTop Christmas Task (One-Time)');
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера');
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера.job');
 DelCLSID('{8A69D345-D564-463c-AFF1-A69D9E530F96}');
 DelCLSID('OpenVPN_UserSetup');
 ExecuteRepair(8);
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.

2) У вас отключён UAC. Включите уровень по умолчанию, для того чтобы перейти к его настройки введите: Win+R -> UserAccountControlSettings и Enter

3) Смените пароли. В первую очередь от почты.

4) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

5)

Java 8 Update 341 (64-bit) [20220821]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180341F0}
Java(TM) SE Development Kit 19.0.2 (64-bit) [20230222]-->MsiExec.exe /X{5E32314F-F4C9-59D1-A229-BC58CEA0D74A}

Удалите древнюю Java, в ней полно дыр через которые лезут вирусы.
Zona - сами ставили? Используете, она рекламный модуль содержит. Если не используете, то удалите.

CyberGhost TUN [20220305]-->MsiExec.exe /X{677232D6-72D6-4821-8CB5-47969B15D4DF}

У вас числится в установленных, но в логах от него только хвосты. Он у вас установлен или удалён уже?