Решена Вирус подменил сертификаты Windows

[DanKud]

Помогите пожалуйста решить проблему, никакие советы из интернета по удалению и сбросу сертификатов не помогают. Подцепил кучу вирусов, еле-еле все подчистил в безопасном режиме бесплатной утилитой от Касперского и софтом от Malwarebytes, но есть главная проблема, что вирус добавил какие-то левые сертификаты в Windows, которые я тоже удалил (один был под именем что-то типа zZdk3klewr0fkw, а второй Plumix.com). Теперь при попытке зайти на некоторое сайты, в первую очередь на ресурсы google, все браузеры пишут, что сертификат Plumix.com самоподписанный и к нему нет доверия. При этом после некоторых манипуляций он стал редиректит на http://google.ga но при этом в любом случае нет доступа к gmail.com и нигде не отображается ReCaptcha. Подскажите пожалуйста как побороть эту подмену сертификата вирусом? Так же не работает служба "Центр обновления" судя по всему потому что нет доступа к сайту Microsoft опять же из-за неправильного сертификата. И самой службы вообще в списке приложения services нет, но при этом она запускается из командной строки через net stat. Никакие средства по восстановлению компонентов Windows из-за этого не помогают. Логи прилагаю.

 

[Sandor]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Web Companion

"Пофиксите" в HijackThis:

O1 - Hosts: Reset contents to default

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[DanKud]

Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:


"Пофиксите" в HijackThis:

O1 - Hosts: Reset contents to default

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сделал все, что нужно. Логи прилагаю.

 

[akok]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[DanKud]

Логи от FRSC прилагаю.

 

[akok]

TeamViewer - ваше?
C:\Windows\system32\rrrr.txt - проверьте содержимое файла, что там находится.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\Run: [World of Tanks] => D:\Games\WargamingGameUpdater.exe [3139936 2018-06-25] (Wargaming.net)
  HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {6a47771d-1da6-11e9-8351-c04a00017970} - "G:\setup.exe" 
  HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {7548454e-183a-11e9-8346-c04a00017970} - "I:\Install.exe" 
  HKU\S-1-5-21-79250387-1061011135-798020254-1001\...\MountPoints2: {f7d734bb-1dab-11e9-8354-c04a00017970} - "G:\sources\setup.exe" 
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34
  SearchScopes: HKLM-x32 -> DefaultScope value is missing
  2019-01-11 23:34 - 2019-01-11 23:34 - 000000128 _____ C:\Users\Все пользователи\appdata.dat
  2019-01-11 23:34 - 2019-01-11 23:34 - 000000128 _____ C:\ProgramData\appdata.dat
  2019-01-11 23:31 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\wrcygu3554c
  2019-01-11 23:26 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\jl2qxledoiz
  2019-01-11 23:26 - 2019-01-11 23:26 - 000140800 _____ C:\Users\Alexvel\AppData\Local\installer.dat
  2019-01-11 23:20 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\5dw2p3bvx3g
  2019-01-11 23:18 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zgfd4liwjxv
  2019-01-12 00:06 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\y4tqw0ddtv5
  2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zh0sqlgbxjq
  2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\eam3ur2eytl
  2019-01-11 23:02 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\ct14x0dz3wx
  2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\oqt254uj1dp
  2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\gbqy0nkwnjb
  2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\d2dogt0ltn0
  2019-01-11 23:01 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\0prm1bm1egj
  2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\u2of0lipm1i
  2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\ki4kikdutfe
  2019-01-11 22:21 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\jcx1vqvwe4m
  2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\qlxuzc1hq04
  2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\2vutdgdyio0
  2019-01-11 21:47 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\14424ssdg0r
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\zj5uzrfxwwy
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\tfdgkxs5120
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\mtfxciqe3p3
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\m5monvkm5mj
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\j30meqeft0c
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\isqo1h1jqao
  2019-01-11 21:46 - 2019-01-12 01:32 - 000000000 ____D C:\Users\Alexvel\AppData\Roaming\f2u2qzq4wak
  Folder:C:\Users\Все пользователи\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
  Folder:C:\Users\Все пользователи\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
  Folder:C:\ProgramData\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
  Folder:C:\ProgramData\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
  2019-01-01 18:45 - 2019-01-01 18:45 - 000000000 ____D C:\Users\Все пользователи\LpgGfxGjetDHvVVB
  2019-01-01 18:45 - 2019-01-01 18:45 - 000000000 ____D C:\ProgramData\LpgGfxGjetDHvVVB
  BCD (recoveryenabled=No -> recoveryenabled=Yes) <==== restored successfully
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [748]
  AlternateDataStreams: C:\Windows\Cmicnfgp.ini.cfg:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\Cmicnfgp.ini.imi:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\cmudaxp.ini:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\difxapi.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\Xonar DG Audio.ico:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system\Cmicnfgp.ini:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system\CmiFltr.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system\CmiFltr.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system\HsSrv64.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system\HsSrv642.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\cmasiopx.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\cmasiopx.ini:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\Cmeauoxy.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\Cmeauoxy.exe:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\CmiCnfgp.cpl:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\CmiInstallResAll64.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\cmudaxp.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\cmudaxp.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\Cm_Oal.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\dns-sd.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\OpenAL32.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\system32\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\PresentationNative_v0300.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaErHdl8.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaErHdlr.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\system32\SaImgFl8.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaImgFlt.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaMinDr8.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaMinDrv.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\SaSegFlt.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ssb3mci.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ssb3mci.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ssb3ml6.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\Ssdevm64.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\Ssusbp64.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\TsWpfWrp.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\usbaaplrc.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ux003ci.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ux003ci.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\ux003lm.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\wrap_oal.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\SysWOW64\cmasiop.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\cmasiop.ini:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\CmiFltr.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\CmiFltr.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\Cmpaoxy.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\Cm_Oal.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\dns-sd.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\HsSrv.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\HsSrv2.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\OpenAL32.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\SysWOW64\PresentationCFFRasterizerNative_v0300.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\PresentationNative_v0300.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\Ssdevm.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\SysWOW64\Ssusbpn.dll:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\TsWpfWrp.exe:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\SysWOW64\VmixP8.dll:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\SysWOW64\wrap_oal.dll:$CmdTcID [130]
  AlternateDataStreams: C:\Windows\system32\Drivers\cmudaxp.sys:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\Drivers\cmudaxp.sys:$CmdZnID [26]
  AlternateDataStreams: C:\Windows\system32\Drivers\usbaapl64.sys:$CmdTcID [64]
  AlternateDataStreams: C:\Windows\system32\Drivers\usbscan.sys:$CmdTcID [64]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [748]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [748]
  AlternateDataStreams: C:\Users\Alexvel\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  AlternateDataStreams: C:\Users\Alexvel\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Alexvel\Application Data:NT2 [748]
  AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
  AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Alexvel\AppData\Roaming:NT2 [748]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [748]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [748]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [464]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [748]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [748]
  FirewallRules: [{C95BCFC4-93AF-4AAD-BC63-961C99387AE4}] => (Allow) C:\Users\Alexvel\AppData\Local\Temp\csrss\lsa64.exe No File
  FirewallRules: [{038F04BE-76DE-42AC-AAD6-FFF5F6503E8A}] => (Allow) C:\Users\Alexvel\AppData\Local\Temp\csrss\lsa64.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ - запустите стандартную проверку и логи тоже приложите.

 

[DanKud]

TeamViewer мой.
C:\Windows\system32\rrrr.txt удалил, там был код в JSON-формате с какими-то рекламными ссылками, судя по всему от Web Companion, который был удален ранее.

Все восстановилось и заработало в нормальном режиме. Огромное спасибо за помощь!

Логи прилагаю. Если можно подскажите как восстановить компоненты, которые SFC выдало в логе и в чем все же была причина проблем с входом на сервисы Google, Microsoft и им подобные?

 

[akok]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\Users\Все пользователи\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
  2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\Users\Все пользователи\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
  2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\ProgramData\{D66DD64B-751F-6E91-6768-12E2678F4BB3}
  2019-01-11 21:45 - 2019-01-19 01:12 - 000000000 ____D C:\ProgramData\{0AAB7C5F-DF0B-B257-73C2-D43E73258D6F}
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

чем все же была причина проблем с входом на сервисы Google, Microsoft и им подобные?

В настройке сети, были прописаны IP
Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34

Пароли смените они могли быть перехвачены.

Если можно подскажите как восстановить компоненты, которые SFC

Если правильно прочел лог, то все восстановилось.

 

[akok]

Ну и финальные рекомендации
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[DanKud]

В настройке сети, были прописаны IP
Tcpip\..\Interfaces\{37D862F4-2FE7-4A8B-A355-4BF31C96410B}: [NameServer] 173.212.203.173 5.189.187.34

Ясно. И ни один использованный автоматический софт не нашел этой, казалось бы банальной, причины

Еще раз спасибо за помощь. Все рекомендацию выполню.