Решена Устранение последствий заражения Windows 10 Home

[Fashoincolorseries]

Здравствуйте! Помогите, пожалуйста, найти и устранить последствия заражения Windows 10 Home на ноутбуке.
Пару дней назад заметил, что ноутбук сильно шумит во время выполнения простых задач.
Антивирус Касперского и Malware Bytes не устанавливались.
После запуска в безопасном режиме (Alternate Shell) запустил Kaspersky Virus Removal Tool. Он нашел вирусы (Bitcoin Miner, в том числе) и удалил, что нашел. Файл hosts он не смог "вылечить".
Я вручную исправил файл hosts, удалив из него большое количеств адресов сайтов.
После этого использовал Malwarebytes Anti-Rootkit, который тоже что-то нашел.
Далее я обнаружил в Program Files и Program Files (x86) пустые папки, которые не мог открыть. Они имели название известных антивирусов.
Выяснилось что у моего пользователя и System не было прав доступа к этим папкам. Я восстановил эти права вручную и удалил эти папки.
Затем ещё устанавливал Malwarebytes Free Antivirus, который нашёл и удалил какие-то угрозы. Дальше я просмотрел файлы на компьютере, потому что вирус создал пустые папки с ограниченным доступом примерно в одно и то же время. Я удалил папки и файлы (созданные в то время), которые я нашел.
Используя Revo Uninstaller, удалил программы, которые мне были не нужны. Эта программа ищет "следы" программ и помогает удалять их.
Потом через командную строку с помощью команды net user обнаружил непонятного пользователя Guest John.
Затем использовал AV block remover (AVbr) 2022.09.12, который в ходе своих операций в том числе и удалил этого пользователя John.
Я нахожусь в Китае, поэтому доступ ко многим сайтам здесь возможен только с использованием VPN. Логи собрал при отключенном VPN.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Fashoincolorseries]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Отправляю

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1269208936-1941442257-3563979075-1001\...\MountPoints2: {334b6113-698d-11ed-a4ed-9828a637bc23} - "E:\autorun.exe" 
HKU\S-1-5-21-1269208936-1941442257-3563979075-1001\...\MountPoints2: {9f9cf5d8-304c-11ec-a4a4-9828a637bc23} - "E:\setup.exe" 
Task: {0A4BBBE3-C83A-4C58-A2F9-813C35FD5086} - System32\Tasks\App Explorer => C:\Users\Flashgot\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7900704 2022-11-22] (SweetLabs Inc -> SweetLabs, Inc) <==== ATTENTION
Task: {62F9BAED-2CB5-485C-A0D7-F91EE4AA6EB7} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => C:\Program Files\CUAssistant\culauncher.exe (No File)
Task: {AD014E0E-4BCB-4F27-94BF-F8B19B00B68A} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
Task: {D9B4870A-494B-4E6C-8CF7-57A04CD83586} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
Edge Extension: (No Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [not found]
Edge Extension: (No Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [not found]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Fashoincolorseries]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1269208936-1941442257-3563979075-1001\...\MountPoints2: {334b6113-698d-11ed-a4ed-9828a637bc23} - "E:\autorun.exe"
HKU\S-1-5-21-1269208936-1941442257-3563979075-1001\...\MountPoints2: {9f9cf5d8-304c-11ec-a4a4-9828a637bc23} - "E:\setup.exe"
Task: {0A4BBBE3-C83A-4C58-A2F9-813C35FD5086} - System32\Tasks\App Explorer => C:\Users\Flashgot\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7900704 2022-11-22] (SweetLabs Inc -> SweetLabs, Inc) <==== ATTENTION
Task: {62F9BAED-2CB5-485C-A0D7-F91EE4AA6EB7} - System32\Tasks\Microsoft\Windows\CUAssistant\CULauncher => C:\Program Files\CUAssistant\culauncher.exe (No File)
Task: {AD014E0E-4BCB-4F27-94BF-F8B19B00B68A} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
Task: {D9B4870A-494B-4E6C-8CF7-57A04CD83586} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (No File) <==== ATTENTION
Edge Extension: (No Name) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [not found]
Edge Extension: (No Name) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [not found]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Здравствуйте! Сделал.

 

[Fashoincolorseries]

@thyrex, Здравствуйте! Ответьте, пожалуйста, что я могу сделать дальше по этому вопросу?

 

[Sandor]

Здравствуйте!

Встречный вопрос - что из проблем сейчас осталось?

 

[Fashoincolorseries]

Здравствуйте!

Встречный вопрос - что из проблем сейчас осталось?

Вроде нормально всё. Я только не знаю, остались ли ещё последствия от деятельности тех вирусов, которые могут навредить.

 

[Sandor]

Сделаем ещё такую проверку:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Fashoincolorseries]

Сделаем ещё такую проверку:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

Здравствуйте! Он нашел только довольно старый кряк.

 

[Sandor]

Хорошо, проделайте завершающие шаги:
1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора.
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Fashoincolorseries]

@Sandor, Сделал

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - en-us v.16.0.14228.20204 Warning! Download Update
How Install Office updates?
NVIDIA GeForce Experience 3.14.0.139 v.3.14.0.139 Warning! Download Update
Python 3.2.2 v.3.2.2150 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Warning! Download Update
Uninstall old version and install new one.
WinRAR 6.02 (64-bit) v.6.02.0 Warning! Download Update
------------------------------- [ Imaging ] -------------------------------
IrfanView 4.58 (32-bit) v.4.58 Warning! Download Update
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46206 Warning! Ad-supported P2P-client.
------------------------------- [ Browser ] -------------------------------
Brave v.107.1.45.116 Warning! Download Update
Microsoft Edge v.104.0.1293.54 Warning! Download Update
---------------------------- [ UnwantedApps ] -----------------------------
App Explorer v.0.273.4.594 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

По возможности исправьте перечисленное (последнюю обязательно деинсталлируйте).
Читайте Рекомендации после удаления вредоносного ПО