Решена Помогите с вирусом Ради Христа :) невидимый вирус

[Chicherin996]

Добрый день, УВАЖАЕМЫЕ и добрые люди! надеюсь на помощь и восстановление системы в норму)
Значит на днях я поймал странный вирус (А может и не на днях НО заметил я его сегодня) Когда я запускал игру любую, температура и процессора 80+% + Видеокарта бились в Адском пламени до 80С градусов и память видеокарты забивалась на 100% и лагать начинало.
Стоило мне открыть диспетчер задач, так майнер сразу опа и пропадал (как я заметил? просто открыл OCCT и смотрел температуры и состояние проца + Видеокарты)
Днём я скачал скачал Avbr и сделал очистку + dr web Cureit почистил (Нашёл 6 вирусов , про эти проги я знал и из других источников, всё стало нормально работать вроде бы..) А потом я уже нашёл ваш сайт, поэтому простите что в таком порядке UPD: Самое интересное что Malwerbytes не смог найти вирус
Поэтому сейчас я не уверен что моя система в порядке и удалил ли я вообще этот страшный беспалевный вирус? помогите пожалуйста можно ли привести в норму систему и восполнить дыру в системе

 

[Chicherin996]

Иду спать сейчас, поэтому отвечу утром часов через 8 надеюсь вы дадите инструкцию что делать ) как встану - сразу отвечу!

 

[akok]

Да, лучше уж на свежую голову, а пока

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Chicherin996]

virusinfo_auto_DESKTOP-G2M78F5.zip

Посмотреть и скачать с Яндекс Диска

disk.yandex.ru

 

[Chicherin996]

Воть!

 

[Sandor]

Здравствуйте!

AVbr должен был создать отчёты вида AV_block_remove_дата-время.log
Если их несколько, упакуйте в архив и прикрепите к следующему сообщению.
Также найдите в папке профиля C:\Users\Юрий\ отчёт cureit.log. Упакуйте и тоже прикрепите.

Деинсталлируйте нежелательное ПО:

AdsPower Global 7.7.18
Driver Booster 13
Кнопки сервисов Яндекса на панели задач

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
  IFEO\aitstatic.exe: [Debugger] C:\Windows\System32\taskkill.exe
  IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
  IFEO\DeviceCensus.exe: [Debugger] %windir%\system32\taskkill.exe
  IFEO\SecHealthUI.exe: [Debugger] %windir%\system32\taskkill.exe
  IFEO\wsqmcons.exe: [Debugger] C:\Windows\System32\systray.exe
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
  ProxyServer: [S-1-5-21-3583260906-211640252-2208416670-1002] => hxxp://127.0.0.1:10809
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3583260906-211640252-2208416670-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  RemoveProxy:
  Folder: C:\ProgramData\Realtek
  Zip: C:\Users\Public\msgbox.txt; C:\Users\Public\secret_bytes.txt; C:\Users\Public\1.vb; C:\Users\Public\cap.ps1; C:\Users\Public\script.vbs
  AlternateDataStreams: C:\Windows\tracing:? [16]
  FirewallRules: [{3BF84554-18A2-49E1-B19E-6323E1E2B44C}] => (Allow) LPort=32683
  FirewallRules: [{24FF6D73-5753-4106-9B65-DD9D9287F440}] => (Allow) LPort=33683
  FirewallRules: [{725F0062-649C-44D8-A967-DB0E49B9F1FA}] => (Allow) LPort=26822
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Chicherin996]

На счёт файла Cureit - надеюсь это оно
На счёт Avbr я запускал его раза 2, но файл только один в диске D , и он один, я надеюсь что это то что нужно
На счёт AdsPower (я немогу его удалить к сожалению он мне нужен)
На счёт DriverBooster, в целом могу удалить, но можете посоветовать альтернативу? для драйверов на пк, я был бы вам очень благодарен! ^^

 

[Sandor]

Да, спасибо. Продолжайте.

 

[Chicherin996]

Воть

А как и где я мог подхватить этот вирус? я просто не понимаю как я его могу поймать или вы не волшебник чтоб такое знать? (Ну или хотябы примерно)

 

[Sandor]

На рабочем столе должен появиться файл 17.03.2026_09.40.16.zip
Прикрепите его к следующему сообщению.

или вы не волшебник чтоб такое знать?

Не волшебник, но ответить смогу
Как правило, этот вредонос попадает в систему либо при запуске активатора системы или офиса, либо при установке некоего репака, скачанного с торрента.
При этом у них в инструкциях обычно рекомендуют отключить защиту. У вас она как раз и была отключена.

 

[Sandor]

DriverBooster, в целом могу удалить, но можете посоветовать альтернативу? для драйверов на пк

Драйверы следует устанавливать только с сайта производителя оборудования. А вся продукция фирмы IObit относится к потенциально нежелательному ПО.

 

[Chicherin996]

Тоесть выходит, в ручную каждый драйвер? но на компьютере же много достаточно драйверов которые требуються в обновлении, и без подобных программ бывает тяжеловато самому в ручную это всё искать
Ну да, чего я только не качал с рутрекера, но я думал там обычно безопасно в плане репаков

 

[Sandor]

я думал там обычно безопасно в плане репаков

Увы, это не так. Как раз от них и все беды.

Удалите эти файлы вручную:

C:\Users\Public\msgbox.txt
C:\Users\Public\secret_bytes.txt
C:\Users\Public\1.vb
C:\Users\Public\cap.ps1
C:\Users\Public\script.vbs

 

[Chicherin996]

Готово капитан!
Что бы мы без вас делали, я очень благодарю вас за такую работу , я бы пожал вам руку еслибы мог

 

[Sandor]

Хорошо. В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Chicherin996]

FRST удалил
Воть

 

[Sandor]

Исправьте по возможности:
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

NVIDIA App 11.0.6.383 v.11.0.6.383 Внимание! Скачать обновления
Npcap v.1.83 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.8.9 Внимание! Скачать обновления
AdsPower Global 7.7.18 v.7.7.18 Антидетект браузер.
Google Chrome v.145.0.7632.160 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.146.0.3856.59 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

Читайте Рекомендации после удаления вредоносного ПО

 

[Chicherin996]

Спасибо вам огромнейшее! вы просто талантище!
Займусь сейчас обновлением всего что написали

 

[Sandor]

Удачи!