Решена проверка на вирус

[Art']

Проверьте пожалуйста на вирусы, рекомендовали в этой теме: В работе - Автозагрузка и PowerShell

Кстати вчера вроде мог подхватить вирус, проверял через Malwarebytes и avz, возможно хвоcты все таки могли остаться.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('ingeService', 4);
 QuarantineFile('c:\windows\data\hvault.exe', '');
 QuarantineFile('c:\windows\svhost.exe', '');
 DeleteFile('c:\windows\data\hvault.exe', '32');
 DeleteFile('C:\Windows\svhost.exe', '32');
 DeleteFile('C:\Windows\svhost.exe', '64');
 DeleteService('ingeService');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) C:\Windows\System32\Tasks\Hewlett-Packard\HP Support Assistant (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O26 - Debugger: HKLM\..\FF_.exe: [Debugger] = 0 (file missing)
O26 - Debugger: HKLM\..\KMPlayer.exe: [Debugger] = 0 (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[Art']

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы

отправил, имя:
2023.12.24_quarantine_56333d102a0406e0f2147dec669dd5c7.7z

HijackThis пофиксил

Для повторной диагностики запустите снова AutoLogger.

сделал, новые логи прикладываю

 

[akok]

Майнер удалили, но посмотрим еще так

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Art']

Прикрепите отчеты

 

[regist]

+
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Dragokas]

Необычный кейс (пустой или поврежденный параметр в O4 судя по логу FRST).
Подождём экспорта запрошенного здесь.

++ @Art1122, рядом с HiJackThis у вас появилась папка Backup, пожалуйста, упакуйте ее в архив, и прикрепите к сообщению.

 

[akok]

Какое содержимое у файла?
2023-12-22 20:47 - 2023-12-24 02:30 - 000000595 _____ C:\Windows\WARNING.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [AdobeGCInvoker-1.0] => "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (Нет файла)
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2023-12-22 21:33 - 2023-12-24 02:40 - 000000000 ____D C:\Windows\data
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat DC.lnk:1069064143 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller DC.lnk:9185529B88 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Immersive Control Panel.lnk:DC8F23BC3A [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outline.lnk:9602C26DD5 [3442]
  FirewallRules: [TCP Query User{5DDE1C98-F488-41FB-9779-74CAC7305FF9}C:\program files\riot games\riot client\riotclientservices.exe] => (Allow) C:\program files\riot games\riot client\riotclientservices.exe => Нет файла
  FirewallRules: [UDP Query User{FF849851-3474-4D95-8DF7-94A9FC1681F0}C:\program files\riot games\riot client\riotclientservices.exe] => (Allow) C:\program files\riot games\riot client\riotclientservices.exe => Нет файла
  FirewallRules: [TCP Query User{4268066F-4D3E-4F1A-89DA-8AF63181751B}C:\games\just cause 4\justcause4.exe] => (Allow) C:\games\just cause 4\justcause4.exe => Нет файла
  FirewallRules: [UDP Query User{EFBDA170-2B41-497B-844D-C8C9D51B17ED}C:\games\just cause 4\justcause4.exe] => (Allow) C:\games\just cause 4\justcause4.exe => Нет файла
  FirewallRules: [TCP Query User{ACA489B9-275F-4830-B94D-7E52DFFE4068}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [UDP Query User{C5F5C070-1B00-4EEF-811C-4C5B84A01226}C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\user\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
  FirewallRules: [TCP Query User{468BA2C5-CEF4-4494-A847-2121810002DE}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
  FirewallRules: [UDP Query User{41ADF0F4-82FA-4AD2-A581-E5A18EDF188B}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
  FirewallRules: [TCP Query User{2BE4AE98-2B1F-4429-BEB0-3A0F17012C29}C:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Allow) C:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
  FirewallRules: [UDP Query User{C760CD53-A6A4-46E9-A71B-F129A28FE649}C:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Allow) C:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
  FirewallRules: [TCP Query User{48291A18-0C69-4E84-AED6-2EFDDE9A56E1}C:\program files (x86)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\program files (x86)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [UDP Query User{95606734-26FF-48F1-AF2F-79484D647585}C:\program files (x86)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) C:\program files (x86)\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Нет файла
  FirewallRules: [TCP Query User{D9F6F8BD-D95E-442E-96DC-1AFA7FB85FD2}C:\games\ghostrunner 2 (2023)\ghostrunner 2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe] => (Allow) C:\games\ghostrunner 2 (2023)\ghostrunner 2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe => Нет файла
  FirewallRules: [UDP Query User{479DC058-B7F8-475C-AD1D-BCDA546E70FA}C:\games\ghostrunner 2 (2023)\ghostrunner 2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe] => (Allow) C:\games\ghostrunner 2 (2023)\ghostrunner 2\ghostrunner2\binaries\win64\ghostrunner2-win64-shipping.exe => Нет файла
  FirewallRules: [TCP Query User{C918F95D-5258-48A5-A765-50E88367C6B0}C:\games\lords of the fallen (2023)\lords of the fallen\lotf2\binaries\win64\lotf2-win64-shipping.exe] => (Block) C:\games\lords of the fallen (2023)\lords of the fallen\lotf2\binaries\win64\lotf2-win64-shipping.exe => Нет файла
  FirewallRules: [UDP Query User{407CD594-25B5-4D40-87A9-197614EC4C49}C:\games\lords of the fallen (2023)\lords of the fallen\lotf2\binaries\win64\lotf2-win64-shipping.exe] => (Block) C:\games\lords of the fallen (2023)\lords of the fallen\lotf2\binaries\win64\lotf2-win64-shipping.exe => Нет файла
  FirewallRules: [TCP Query User{AB7A7EFC-F8E8-4656-8641-36EA4D6754C3}C:\games\atlas fallen (2023)\atlas fallen\bin\atlasfallen (vk).exe] => (Allow) C:\games\atlas fallen (2023)\atlas fallen\bin\atlasfallen (vk).exe => Нет файла
  FirewallRules: [UDP Query User{62FD3756-20FD-44BB-BB73-A21A89857BB5}C:\games\atlas fallen (2023)\atlas fallen\bin\atlasfallen (vk).exe] => (Allow) C:\games\atlas fallen (2023)\atlas fallen\bin\atlasfallen (vk).exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Art']

следующем сообщении.

virusinfo_auto_WIN-2EEQPKDROIT.zip

Посмотреть и скачать с Яндекс Диска

disk.yandex.ru

Backup, пожалуйста, упакуйте

Какое содержимое у файла?

офигеть, а не подскажете когда я подхватил вирус, не на днях ли случаем?

 

[akok]

Судя по логам майнер жил с августа месяца. Как он попал в систему не могу сказать точно. Файл WARNING.txt можно спокойной удалить, сам майнер мы удалили уже.

Пока звершаючи шаги по лечению, коллеги по своим вопросам отпишутся.
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

 

[Art']

Подготовьте лог лог SecurityCheck by glax24

 

[akok]

Исправьте по возможности и с лечением все.

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.1.8 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 v.6.11 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9026 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u391-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP 5.03 v.5.03 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC (64-bit) v.22.001.20142 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.120.0.6099.111 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

[Art']

Исправьте по возможности и с лечением все.

Спасибо огромное, у меня сейчас каждый раз при запуске блокнот открывается, как убрать это?

 

[Dragokas]

Анализ файла C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrotray.exe, у которого была повреждена подпись, не показал ничего подозрительного, тем не менее если еще не сделали, я бы рекомендовал:
1. Полностью деинсталлировать "Adobe Acrobat" через правый клик по Пуску - Приложения
2. Убедиться, что файл C:\Program Files\Adobe\Acrobat DC\Acrobat\Acrotray.exe удалён, иначе, удалить вручную
3. Заново установить Adobe Acrobat, скачав с официального сайта.

Спасибо огромное, у меня сейчас каждый раз при запуске блокнот открывается, как убрать это?

Выделите следующий код:

Start::
HKLM\...\Run: [] => [X]
CMD: attrib.exe +S +H "%APPDATA%\Microsoft\Windows\Start Menu\desktop.ini" /S
End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Перезагрузите систему и отпишитесь, исправлена ли проблема.

 

[Art']

исправлена ли проблема.

Вроде да исправлена, Спасибо большущее

 

[Dragokas]

Отлично.

Тогда, окончательные рекомендации:
- убедитесь, что у вас включен Защитник Windows и эта опция: Как включить/отключить защиту от подделки в Microsoft Defender: пошаговое руководство