Решена Словил майнер, помогите обезвредить

[Acoustica]

Здравствуйте,

Пару дней назад имел не осторожность установить с "левого" сайта игру которая выдала ошибку и я удалил, видимо это и был майнер... Антивируса кроме стандартного защитника Windows 10 нет он в свою очередь никак не ругался на установщик игры. Заметил это после того как система начала тормозить, при попытках зайти на страницы скачивания антивируса сайт не загружался, а иногда и вовсе закрывался браузер. Через флешку загрузил cureit проверил систему, вроде как нашел майнера и удалил его, исправил файл хоста и стало пускать на сайты антивирусов но при попытке установить антивирус он либо не запускался либо в процессе установки ругался что не хватает прав на запись файлов в программ дата и програм файлес (точно не помню).
После удалось установить RogueKiller и через него было найдено много всего с предупреждениями и среди них вот это:

Спойлер: Список

Miner.Gen
Tr.Gen
Tr.Nymeria
Adw.Xunlei
ByteFence
OnlineIO

Самостоятельно попытался удалить эти папки, но прав не хватало, после чего подгрузился с лайф флешки и удалил эти папки.
После всех манипуляций антивирусы по прежнему не устанавливались, запустил rkill он показал что по пути: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer] были ограничения на запуск программ и отключил (я же потом зашел туда и удалил вручную весь список антивирусов запрещенных на запуск и папку DisallowRun в целом) перезапустил компьютер но и этого не помогло, всё равно блокируются антивирусы, собственно на этом моменте я сейчас и остановился, прошу помощи у специалистов помогите пожалуйста обезвредить гадость )

Логи с логгера прикрепил

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Acoustica]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Sandor]

Мы в этой теме вдвоем, так что можете не цитировать предыдущее сообщение, а использовать форму быстрого ответа внизу.

соберите новый CollectionLog Автологером

Жду.

 

[Acoustica]

Новый отчёт

 

[Sandor]

Хорошо, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Acoustica]

Отчёты

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-323225124-250710245-1219743587-1001\...\MountPoints2: {9e078d70-0484-11e9-bf1a-806e6f6e6963} - "E:\LaunchU3.exe" -a
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-323225124-250710245-1219743587-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\Inclu\AppData\Roaming\K-Meleon\yfafj7ab.default\user.js [2006-04-06]
  FCheck: C:\WINDOWS\SysWOW64\abracadabra08092011.exe [2020-12-01] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FW: COMODO Firewall (Disabled) {3D9428CB-50D2-A37E-F90F-1D238F042427}
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
  AlternateDataStreams: C:\Users\Inclu\Application Data:1 [148]
  AlternateDataStreams: C:\Users\Inclu\Local Settings:String [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Local:String [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Roaming:1 [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Local\Application Data:String [148]
  HKLM\...\.scr: Icad.load.scr => Notepad.exe '%1' <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Acoustica]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
  HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-323225124-250710245-1219743587-1001\...\MountPoints2: {9e078d70-0484-11e9-bf1a-806e6f6e6963} - "E:\LaunchU3.exe" -a
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-323225124-250710245-1219743587-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\Inclu\AppData\Roaming\K-Meleon\yfafj7ab.default\user.js [2006-04-06]
  FCheck: C:\WINDOWS\SysWOW64\abracadabra08092011.exe [2020-12-01] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FW: COMODO Firewall (Disabled) {3D9428CB-50D2-A37E-F90F-1D238F042427}
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [134]
  AlternateDataStreams: C:\Users\Inclu\Application Data:1 [148]
  AlternateDataStreams: C:\Users\Inclu\Local Settings:String [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Local:String [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Roaming:1 [148]
  AlternateDataStreams: C:\Users\Inclu\AppData\Local\Application Data:String [148]
  HKLM\...\.scr: Icad.load.scr => Notepad.exe '%1' <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Что из проблем ещё осталось?

 

[Acoustica]

Нет, теперь всё в порядке, огромнейшее вам спасибо!

 

[Sandor]

Отлично!

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Acoustica]

SecurityCheck

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.11029.20108 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 2.11.4.125 v.2.11.4.125 Внимание! Скачать обновления
FileZilla Client 3.54.1 v.3.54.1 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.8.6 Внимание! Скачать обновления
TeamViewer v.15.2.2756 Внимание! Скачать обновления
TeamViewer 15.1.3937 v.15.1.3937 Внимание! Скачать обновления
WinSCP 5.17.7 v.5.17.7 Внимание! Скачать обновления
Microsoft PowerPoint Viewer v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком.
LibreOffice 6.4.5.2 v.6.4.5.2 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.4.4152 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.2.5 v.4.2.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
Java 8 Update 281 v.8.0.2810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-i586.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.10 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.5.3.1.470 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.92.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 77.0.4054.254 v.77.0.4054.254 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.98.0.4758.82 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
Microsoft Edge v.97.0.1072.76 Внимание! Скачать обновления

^^
Обратите внимание и постарайтесь учесть.

Читайте Рекомендации после удаления вредоносного ПО