Решена Срочно требуется помощь в поиске вредоносного ПО (вирус, шпион)

[RuMax]

Техподдержка сообщила о несанкционированных входах в мою игровую учетную запись, хотя стоит двухфакторная аутентификация. Входы были и после смены пароля. Вероятно - шпион. В подтверждении - было предупреждение антивируса, о попытках проникновения, блокировал, но видимо где-то пропустил его.

 

[Sandor]

Здравствуйте!

Пока не видно ничего плохого (вирусоподобного).

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[RuMax]

@Sandor, проверился. В файле в основном PUP угрозы, есть такая проблема, что браузер открывает рекламные окна в какие то моменты.

 

[Sandor]

Удалите (поместите в карантин) всё, кроме этого (реакция на торрент-клиент и ложное срабатывание на Яндекс браузер):

Раздел реестра:
PUP.Optional.BundleInstaller, HKU\S-1-5-21-3117500040-2647777193-1647560176-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\uTorrent, Проигнорировано пользователем, 101, 1159036, , , , , ,
Папка:
PUP.Optional.BrowserManager, C:\Users\softr\AppData\Local\Yandex\BrowserManager\data\SeederTasks, Проигнорировано пользователем, 2828, 383595, , , , , ,
PUP.Optional.BrowserManager, C:\Users\softr\AppData\Local\Yandex\BrowserManager\data, Проигнорировано пользователем, 2828, 383595, , , , , ,
PUP.Optional.BrowserManager, C:\USERS\SOFTR\APPDATA\LOCAL\YANDEX\BROWSERMANAGER, Проигнорировано пользователем, 2828, 383595, 1.0.73003, , ame, , ,
Файл:
Generic.Malware.AI.DDS, C:\PROGRAMDATA\HRXFPPFJFFJDTLHVT\YANDEXBROWSERDOWNLOADER.EXE, Проигнорировано пользователем, 1000002, 0, 1.0.73003, 09727DA15BC7CD62D1BFC409, dds, 02401163, 64F01094081E5214EDDE9D6D75FCA1B5, 5861FCAC5DCD75E856FB96A2F0563DF56E321A4BE2C420618763D0BF495700A0
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.5_46096.EXE, Проигнорировано пользователем, 101, 1165198, 1.0.73003, , ame, , 4C958FCC0E655443553D2F6994BF0552, 2AD6315A1D1D832E2EC555E1B6BF9B51C8894F52B8999EEC8564C22540B657B2
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46812.EXE, Проигнорировано пользователем, 101, 1148570, 1.0.73003, , ame, , B2D0827D3C3F63866DFFC587B792F123, 296F56958CD5F557150C1836272FE251938C02309BB162D058D7E306870D4CFD
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.5_46304.EXE, Проигнорировано пользователем, 101, 1082103, 1.0.73003, , ame, , DC207CC725BA775FE9A5D7FD3ABBF0D1, 8CE54612B6BA168908343FC29C89C6D4CADBB05BAB38B87876FF9FB3E98B4E4E
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\UTORRENT.EXE, Проигнорировано пользователем, 101, 1159036, 1.0.73003, , ame, , 1009E138A3EDEEF04EC3A0C3BDDFDF20, 962CA30406E010630CC520C1B63233C8D67CDAB34C4E389DD16CF4957B938D91
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk, Проигнорировано пользователем, 101, 1159036, , , , , F7CCF371EBDCAF5EF8B06641B8E72AAC, 255B78D16E560A9605DD0556AB9CE7D41E63925EA0FA2D5D37271C3A94E4BF97
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE, Проигнорировано пользователем, 101, 1159036, 1.0.73003, , ame, , 1009E138A3EDEEF04EC3A0C3BDDFDF20, 962CA30406E010630CC520C1B63233C8D67CDAB34C4E389DD16CF4957B938D91
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46828.EXE, Проигнорировано пользователем, 101, 1159036, 1.0.73003, , ame, , DFD23FC093EA4848DE94E22F5E1D8B97, CB0A5796E30F42DE3736DABF5E3B2C5244A3D12A5323B9B240F1CF67E7C31B1A
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46672.EXE, Проигнорировано пользователем, 101, 1121241, 1.0.73003, , ame, , 437ED8763AE1A4D9FA62F3643927CCC6, 94D24CAD6B8E158DF73247376A420291E2D954CE387E4A6665670A4E8E586EE3
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46738.EXE, Проигнорировано пользователем, 101, 1131981, 1.0.73003, , ame, , FD42379761A5DDA477083EBFB172286B, 9A27F17D859D7F60A26030C7A0EF3698FFA0FF5FF4230963E52AB79A6A4DACDF
PUP.Optional.BundleInstaller, C:\USERS\SOFTR\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.5_46348.EXE, Проигнорировано пользователем, 101, 1086270, 1.0.73003, , ame, , 600F20ABCC1FA9F5BDA0965D07B6855D, 7D89A16FC0D3AFA3CD78CC51E7AE6A81343CB14DE6FDCA9325142DECA5133515

Перезагрузите компьютер.

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[RuMax]

@Sandor, Я нечаянно все отправил в карантин

 

[Sandor]

Не страшно, можно будет позже восстановить. Давайте лог AdwCleaner.

 

[RuMax]

@Sandor, сделал

 

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[RuMax]

@Sandor, готово

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3117500040-2647777193-1647560176-1001\...\MountPoints2: {7579c197-0781-11ed-9570-40490f6a8e04} - "D:\HiSuiteDownLoader.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FF Extension: (Яндекс Поиск) - C:\Users\softr\AppData\Roaming\Mozilla\Firefox\Profiles\fiaz0m4p.default-release\Extensions\{f479fa23-7074-4c16-bca2-4fae263f7e5a}.xpi [2022-11-22]
  Unlock: C:\ProgramData\Setup
  Folder: C:\ProgramData\Setup
  2023-07-26 19:37 - 2023-03-27 02:57 - 000000000 __SHD C:\ProgramData\Setup
  2023-07-26 19:37 - 2022-10-26 13:56 - 000000000 ____D C:\ProgramData\hRXfpPfjFFJdTlHVT
  2023-07-26 19:37 - 2022-10-25 21:11 - 000000000 ____D C:\Program Files (x86)\nvQdMSAcU
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[RuMax]

@Sandor, сделано

 

[Sandor]

Хорошо. Что сейчас из проблем осталось?

 

[RuMax]

Хорошо. Что сейчас из проблем осталось?

Да так вроде все нормально, я забил тревогу из за входа в мою учетку в основном, так сразу не заметить было проблему даже когда была, ну как-то подвисал ноут все таки, хотя недавно здесь же лечился уже.
Расскажите по-простому, а что у меня там было?

ТП отписалась, что после первых несанкционированных входов, когда я подключил 2 фактор защиты, входов больше все-таки не было. А то я удивился, как это с двухфакторной кто-то мог зайти

 

[Sandor]

что у меня там было?

Т.н. адварь.

Хорошо, в завершение:
1. Что было лишнее удалено в Malwarebytes можете восстановить из карантина. Затем деинсталлируйте программу.

2.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[RuMax]

Хорошо, в завершение:
1. Что было лишнее удалено в Malwarebytes можете восстановить из карантина. Затем деинсталлируйте программу.

а что можно восстановить? я просто не совсем понял из вашего того сообщения, что не надо удалять. То ли то, что в коде, то ли реакцию на торрент-клиент и ложное срабатывание на Яндекс браузер.

Если реакцию на торрент-клиент и ложное срабатывание на Яндекс браузер, тогда какие именно строки?

 

[Sandor]

Вот как раз те перечисленные строки и можно восстановить.
Впрочем, можно и переустановить т-клиент и я-браузер.

 

[RuMax]

@Sandor, готово

 

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.6.1 Внимание! Скачать обновления
TeamViewer v.15.42.9 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46828 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.16 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.114.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 ru) v.91.6.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
JDownloader 2 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


На заметку - Рекомендации после удаления вредоносного ПО