Решена Вирус блокирует AutoLogger, Malwarebytes и Avbr

[Miangel]

Компьютер начал тормозить и греться, уже сталкивался с подобными вирусами, поэтому сразу пошел выполнять сканирования. Однако при попытке сделать логи или просканировать систему, у меня закрываются соответственные программы (из заголовка). Я даже логи не могу прикрепить, потому что их нет. Пробовал переименовывать файлы, но все равно автозакрываются

 

[regist]

Запустите в безопасном режиме с поддержкой сети.

 

[Miangel]

Запустите в безопасном режиме с поддержкой сети.

Да, вы правы, в безопасном режиме запустился. Однако не смог он вирус удалить, такая же ошибка с закрытием программ осталась (еще он закрывает браузер когда на киберфоруме захожу в раздел "Лечение комп вирусов"). Логи прикрепляю

 

[Sandor]

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже в нормальном режиме.

 

[Miangel]

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером уже в нормальном режиме.

удалось запустить Avbr (переименовал в bravlStars) только в безопасном режиме. После этого в нормальном режиме автологгер уже не закрывался. Логи обоих прикрепляю

 

[Sandor]

Хорошо, кое-что еще дочистим.
(Не цитируйте, пожалуйста, полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа).

"Пофиксите" в HijackThis только следующие строки:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PATHEXT] = .COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC;.PY;.PYW
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Miangel]

Рекомендации по фиксу в HijackThis выполнил, прикрепляю отчеты после скана

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3540118745-497595562-1044741411-1001\...\MountPoints2: {e990ede4-3105-11ed-99ad-d46d6dd6279c} - "G:\autorun.exe" 
  HKU\S-1-5-21-3540118745-497595562-1044741411-1001\...\MountPoints2: {e990ee5f-3105-11ed-99ad-d46d6dd6279c} - "Z:\setup.exe" 
  CHR StartupUrls: Default -> "hxxp://ed.ua/","hxxp://rusearch.co"
  AlternateDataStreams: C:\Users\Michael Arkhipov\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Michael Arkhipov\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Miangel]

Прикрепляю fixlog

 

[Sandor]

Хорошо. Если проблема решена, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Miangel]

securityCheck

 

[Sandor]

По возможности исправьте:

--------------------------- [ FirewallWindows ] ---------------------------
Windows Defender Firewall (mpssvc) - Служба работает
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Node.js v.16.13.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
NVIDIA GeForce Experience 3.26.0.131 v.3.26.0.131 Внимание! Скачать обновления
GitHub Desktop v.3.1.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
Python 3.10.1 (64-bit) v.3.10.1150.0 Внимание! Скачать обновления
ASUS Live Update v.3.6.15 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
------------------------------- [ Backup ] --------------------------------
Яндекс.Диск v.3.2.15.4467 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.5-I602 amd64 v.2.5.028 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.4.5 v.4.4.5 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 333 v.8.0.3330.2 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u361-windows-i586.exe - Windows Offline)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.007.20102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.3.0.2246 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.111.0.5563.147 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.112.0.1722.34 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.10 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Razer Cortex v.10.6.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО

 

[Miangel]

Огромная благодарность за помощь! Немного обалдел от такой способности вируса вырубать вообще все. Надеюсь до безопасного режима не доберется) последний оплот надежды

 

[Sandor]

Будьте осторожны с установкой репаков или активаторов, скачанных с торрента. Именно так этот майнер попадает в систему.