Решена Троян при включении компьютера открывается сайт с неприличным содержанием

[Valkyrie ♡]

Здравствуйте!
Столкнулась с проблемой - при включении компьютера открывается браузер и эротический сайт (или любой другой, по-разному)
Проверяла компьютер с помощью антивируса, находил 5 угроз, пишет "Троян", но удалить все не получилось, только "Вылечить"

 

[akok]

По очереди

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [ZET] = C:\Windows\system32\cmd.exe /c start vvv.dinoklafbzor.org (sign: 'Microsoft')
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\SystemTemp\ChromiumTemp19284_2055517595 -> DELETE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\97E884F4-6BC75422-449F88BE-BC7D37A8\2cf945c03.sys (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-6528-2d19cb7c8.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-7684-37694702d.sys (sign: 'Microsoft' - no company)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Valkyrie ♡]

По очереди

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [ZET] = C:\Windows\system32\cmd.exe /c start vvv.dinoklafbzor.org (sign: 'Microsoft')
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\SystemTemp\ChromiumTemp19284_2055517595 -> DELETE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files (x86)\Microsoft Office\Root\Office16\EXCEL.EXE (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\97E884F4-6BC75422-449F88BE-BC7D37A8\2cf945c03.sys (file missing)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-6528-2d19cb7c8.sys (sign: 'Microsoft' - no company)
O23 - Driver R: (no name) - C:\Users\ZET\AppData\Local\Temp\dwt-1836-7684-37694702d.sys (sign: 'Microsoft' - no company)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[akok]

Продолжим

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

C:\Users\ZET\Documents\task.vbs - знакомо? Если нет какое содержимое файла? (можно открыть блокнотом)

 

[Valkyrie ♡]

Продолжим

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

C:\Users\ZET\Documents\task.vbs - знакомо? Если нет какое содержимое файла? (можно открыть блокнотом)

Обозначается как какой-то текстовый документ, но не открывается
Рядом с ним браузерный файл, внутри вот такое содержание:

<Task xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task" version="1.2">
<Triggers>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription>
<![CDATA[ <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[band(Keywords,9007199254740992) and (EventID=4688)]] and *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Users\ZET\AppData\Local\Yandex\YandexBrowser\Application\browser.exe')]]</Select></Query></QueryList> ]]>
</Subscription>
</EventTrigger>
<EventTrigger>
<Enabled>true</Enabled>
<Subscription>
<![CDATA[ <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[band(Keywords,9007199254740992) and (EventID=4688)]] and *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe')]]</Select></Query></QueryList> ]]>
</Subscription>
</EventTrigger>
</Triggers>
<Actions Context="Author">
<Exec>
<Command>C:\Windows\System32\wscript.exe</Command>
<Arguments>C:\Users\ZET\Documents\task.vbs</Arguments>
</Exec>
</Actions>
</Task>

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {D9A138C3-7F8F-4332-9F61-ACD848C412C6} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
  Task: {B8901E55-35A2-4294-913A-E6338FF98F51} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\ZET\Documents\task.vbs <==== ВНИМАНИЕ
  FirewallRules: [{A487C39F-85D3-48B4-8A71-00647C763D91}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
  FirewallRules: [{A89904A0-667D-4E5A-A6D6-59F823CC9222}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
  FirewallRules: [{3B8B9C6B-CACA-44DA-9F3D-D84C04A6F39C}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{2E0CD572-8EAD-409A-BFAC-115A1179A410}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{01639B11-D958-4845-B37F-5863800DE54D}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{7EE4932F-6279-4844-A10C-128DDD6E25D2}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{4AC81551-D0B7-4C28-802F-C3555D545AAF}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{6F83445C-DF6A-4550-AFDD-89A536274DFE}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{907A4A43-2487-4B34-809B-FC4739117B67}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{CDD10293-2BD9-448E-92DD-9DC7E7B85666}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Valkyrie ♡]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Task: {D9A138C3-7F8F-4332-9F61-ACD848C412C6} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
  Task: {B8901E55-35A2-4294-913A-E6338FF98F51} - System32\Tasks\ChromiumModeUpdate => C:\Windows\System32\wscript.exe [170496 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> C:\Users\ZET\Documents\task.vbs <==== ВНИМАНИЕ
  FirewallRules: [{A487C39F-85D3-48B4-8A71-00647C763D91}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
  FirewallRules: [{A89904A0-667D-4E5A-A6D6-59F823CC9222}] => (Allow) D:\Games\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
  FirewallRules: [{3B8B9C6B-CACA-44DA-9F3D-D84C04A6F39C}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{2E0CD572-8EAD-409A-BFAC-115A1179A410}] => (Allow) C:\Users\ZET\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{01639B11-D958-4845-B37F-5863800DE54D}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{7EE4932F-6279-4844-A10C-128DDD6E25D2}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{4AC81551-D0B7-4C28-802F-C3555D545AAF}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{6F83445C-DF6A-4550-AFDD-89A536274DFE}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{907A4A43-2487-4B34-809B-FC4739117B67}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  FirewallRules: [{CDD10293-2BD9-448E-92DD-9DC7E7B85666}] => (Allow) C:\Users\ZET\Desktop\AnyDesk.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[akok]

Что с проблемой?

 

[Valkyrie ♡]

Что с проблемой?

Сайты больше не открываются, вроде ничего больше не беспокоит

 

[akok]

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

 

[Valkyrie ♡]

Тогда финализируем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

 

[Sandor]

Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
GPL Ghostscript v.9.20 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer v.15.36.6 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.10 (64-bit) v.5.10.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
WhatsApp v.2.2222.12 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

 

[Valkyrie ♡]

Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
GPL Ghostscript v.9.20 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
TeamViewer v.15.36.6 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.10 (64-bit) v.5.10.0 Внимание! Скачать обновления
Discord v.1.0.9005 Внимание! Скачать обновления
WhatsApp v.2.2222.12 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.18 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.22.003.20322 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

Спасибо!