Решена Вирус открывал рекламный сайт.

[RainbowHeroin]

Приветствую, включил комп обнаружил что подцепил какой-то вирус который открывал командную строку, а вслед за ней рекламный сайт.
Нашёл запись в реестре которая была за это в ответе и удалил её, также удалил задачу в планировщике, реклама больше не открывается, но наверное какой-то файл который это всё запустил всё ещё присутствует на пк.

 

[regist]

Задача пока в логах видна.

Профиксите в HijackThis

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks: User - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v User /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org" (sign: 'Microsoft')
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2107.4-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2107.4-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2107.4-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2107.4-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[RainbowHeroin]

Приветствую, включил комп обнаружил что подцепил какой-то вирус который открывал командную строку, а вслед за ней рекламный сайт.
Нашёл запись в реестре которая была за это в ответе и удалил её, также удалил задачу в планировщике, реклама больше не открывается, но наверное какой-то файл который это всё запустил всё ещё присутствует на пк.

Всё что делал оказывается не помогло, ни реестр ни планировщик, перезагрузил пк и вирус снова всплыл

 

[RainbowHeroin]

Вот этих трёх скриптов не было в Хайджеке :
https://www.mediafire.com/file/3pmsqca6lgz3q4x/virusinfo_auto_DESKTOP-F7TG0IC.zip/file - ссылка на логи из AVZ
Сюда почему-то не хотят добавляться

 

[regist]

Вот этих трёх скриптов не было в Хайджеке :

А вы HijackThis взяли из Автологера или качали древность из интернета?
Собирайте тогда свежие логи Автологером.

 

[RainbowHeroin]

А вы HijackThis взяли из Автологера или качали древность из интернета?
Собирайте тогда свежие логи Автологером.

Брал хайджек из папки с автологером, сейчас скачал отдельный из гайда на этом сайте, тоже ничего.
Вот новые логи

 

[regist]

В Автологере актуальный. И вы случаем перед тем как собрать логи не пытались опять "вручную" лечить вирус? Такое чувство, что картина там искажена.

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'User', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'User', '64');
 ExecuteRepair(1);
RebootWindows(false);
end.

после выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

[RainbowHeroin]

В Автологере актуальный. И вы случаем перед тем как собрать логи не пытались опять "вручную" лечить вирус? Такое чувство, что картина там искажена.

Было такое, изначально написал что удалил запись в реестре и удалил в планировщике думал что поможет.
Перезагрузил пк, снова в реестре он появился и в логах хайджека тоже видно теперь.

 

[regist]

Выполните скрипт, что выше и соберите ещё раз свежие логи Автологером. Только на этот раз ничего сами не лечите. А то так и будем до бесконечности по кругу.

 

[RainbowHeroin]

Новые логи, перезапустилась система и вроде как ничего не вылезало больше, но может это разовая акция.

 

[regist]

Как включить/отключить защиту от подделки в Microsoft Defender: пошаговое руководство - включите тогда вручную защиту. И защита в реальном времени надеюсь вы только на время сбора логов отключили.
Запуск сайта дочистили, но всякий случай соберите ещё лог MBAM. Инструкция внизу этого сообщения В работе - Вирус открывал рекламный сайт.

 

[RainbowHeroin]

Защиту включил, защиту в реальном времени выключал на время сбора логов да.
Вот новые логи от малавари:

 

[regist]

C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE

удалите, можно и вручную.

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[RainbowHeroin]

Вроде как проблема решена, запускал пк несколько раз ничего не всплывало, спасибо!

 

[akok]

Исправьте по возможности и удачи
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Microsoft Office 2010 shareware v.shareware Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.31.31103 v.14.31.31103.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-bit) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.11.11 (8425) Внимание! Скачать обновления
Telegram Desktop v.4.12.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 391 (64-bit) v.8.0.3910.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Microsoft Edge v.120.0.2210.144