Решена Установил вирус/майнер

[mikeinike]

После установки сомнительного торрента, запустил исполнительный файл установщика, и скачал файлы, но экзешник самой игры (game.exe) не запускал (могу прикрепить торрент если нужно), далее понял, что это вирус и удалил всю папку, но появились проблемы:
1)В процессах появился system32 со странным значком, находящийся в папке C:/ProgramData/Windows Tasks Service с именем winserv.exe
2)Антивирусные сайты не запускались по причине проблемой с днс (перенаправляло на dns.google)
3)При попытке открыть C:/ProgramData папка закрывалась через секунду
4)Через браузер удалось посмотреть, в папке Program Data были созданы папки с названиями многих антивирусов (MalwyreBytes, Avira, Kaspersky, DrWeb и т.д.), для чего не уверен
К сожалению, уже успел предпринять меры (через друга отправил себе DrWeb CureIt и запустил его), проблемы 1,2,3 решились, но, например пустая папка Avira (появившаяся в процессе установки вируса) осталась, как и некоторые изменения других папок в папке ProgramData. Также попытался руками дать себе разрешение к появившейся папке Avira (писало - у вас нет разрешений на доступ к этой папке), дало открыть, но там конечно пусто. Спустя какое-то время снова не дает зайти в эту папку с той же проблемой (нет разрешений на доступ к этой папке).
Также время установки вируса примерно 10.03.24 20:33 (20:34) (МСК)
P.S. Также была замечена фейковая папка realtek hd audio(taskhostw.exe) (вместо L - большая i), но похоже был стерт DrWeb CureIt (либо частично стерт)

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[mikeinike]

Спасибо, запустил в "безопасном режиме с поддержкой сетевых драйверов", но при попытке запуска такая ошибка
P.S. такая же реакция при запуске в обычном режиме, видимо проблема с правами...
P.P.S. поменял название как в инструкции, вроде запускает, подскажите, пожалуйста, на этом форуме можно удалять сообщения?

 

[mikeinike]

Прикрепляю лог и отчеты

 

[mikeinike]

После всех проделанных операций увидел в "приложениях и возможностях" следующее приложение, убежден что оно и есть вирус (остатки от него? удалилось не полностью?), но действий до дальнейших указаний не предпринимаю

 

[mikeinike]

Прощу прощения, предыдущие логи получены запуском Farbar'a из папки "загрузки" , следующие были получены после запуска с рабочего стола:

 

[Sandor]

предыдущие логи получены запуском Farbar'a из папки "загрузки"

Не страшно, для этих логов не имеет значения откуда запущена программа.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-21-1374269297-643037687-1330357124-1001\...\MountPoints2: {28af5dbc-4eb4-11ec-9803-d8bbc109164b} - "H:\setup.exe" 
  HKU\S-1-5-21-1374269297-643037687-1330357124-1001\...\MountPoints2: {28af6434-4eb4-11ec-9803-d8bbc109164b} - "P:\autorun.exe" 
  CHR HKU\S-1-5-21-1374269297-643037687-1330357124-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  AlternateDataStreams: C:\Users\mikei\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\mikei\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\mikei\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\mikei\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\mikei\AppData\Local\Microsoft:ISBD [32]
  AlternateDataStreams: C:\Users\mikei\AppData\Local\Microsoft:ISBD1 [33]
  AlternateDataStreams: C:\Users\mikei\AppData\Local\Microsoft:ISBD2 [134]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3002]
  FirewallRules: [{93217E0B-DDE7-4816-B2F1-625D10B93402}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

На системном диске слишком мало места, постарайтесь освободить, хотя бы до 10-12 гигабайт.

 

[mikeinike]

Освободил диск до ~12ГБ, затем запустил, собственно лог

 

[Sandor]

Вы почему-то выполняете инструкцию не сверху вниз, а снизу вверх
Но в этом случае - не страшно.

Что сейчас с проблемой?

 

[mikeinike]

Думал, что надо для работы приложения освободить
По сути проблема еще до последней операции решилась (открываются сайты антивирусников, лишние папки вроде все исчезли, в диспетчере не вижу winsrv), однако беспокоило, что остался в установленных приложениях тот самый источник вируса (скачал якобы "игру", после чего появились симптомы, которые описал в начале поста), сейчас проверил, он до сих пор есть, но вроде больше никаких признаков вируса нет, стоит ли нажать "удалить"?

 

[Sandor]

Да, удалите. Если не получится стандартно, удалите принудительно через Geek Uninstaller

В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[mikeinike]

Спасибо, удалил через geek uninstaller, лог прикрепляю

 

[Sandor]

Исправьте по возможности:

Git v.2.33.0.2 Внимание! Скачать обновления
Node.js v.16.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.13.11 (13434) Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat DC v.19.021.20061 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Yandex v.24.1.1.944 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.2.55 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

 

[mikeinike]

Спасибо большое за помощь, все это обновлять лень конечно, но что-то обновлю!