Решена Вирус удаленного доступа и Майнер

[TheFirstNoob]

Привет, safezone.cc
В общем по своей же тупости и невнимательности запустил вирусняк запакованный внутри инсталлятора игры. Спать нужно больше.
По тредам с разных форумом, когда информацию собирал, гость частый, так что сам вирус уже удалил, но мусор и восстановить права нужно. Работа выполнялась удаленно (Я говорил что тыкать другу, он делал. Так что мог что-то упустить).

Проблемы которые остались:
1) Сам мусор оставленный после вируса. Ну и прочий мусор который можно найти.
2) Восстановить права к Диску С. (Нет доступа к изменениям определенных папок, файлов)
3) Мой компьютер - Параметры - Защита системы. Точка восстановления и Удаленный доступ. Так же потерян к ним доступ на изменение. И нет возможности удалить зараженные точки восстановления. "Произошла ошибка в свойстве страниц" и "Невозможно повторить проверку дисков по следующей причине" (Прикреплю скринами).

Что было сделано до написания темы:
1) Полное отключение от интернета и блокировка в "Брадмауере Windows" всех связанных параметров с "Удаленный доступ"
2) Полное сканирование Dr.web Cureit (Лог прикреплю). Карантин могу отослать на форму (Только я ее забыл). Если требуется.
3) Восстановил hosts
4) Вычистил временные и остаточные файлы которые нашел ручками.

AutoLogger приложу полноценный.

 

[TheFirstNoob]

Т.к. полный лог + лог Др.Веб большой. Поэтому залил на Яндекс: AutoLogger Full + CureIt Log.rar
Пароль: virus
(Карантин туда не приложен и вирусов нет. Пароль поставил на всякий случай! Только логи!)

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[TheFirstNoob]

Сделано

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[TheFirstNoob]

Сделано.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1738937658-1076965113-88071488-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1738937658-1076965113-88071488-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://www.search.ask.com/?o=APN10645A&gct=hp&d=406-563&v=n9602-142&t=4","hxxp://www.yandex.ru/?win=104&clid=1985535"
  AlternateDataStreams: C:\Users\TheFirstNoob\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\TheFirstNoob\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[TheFirstNoob]

Сделано.

 

[Sandor]

Что сейчас с проблемой?

 

[TheFirstNoob]

Права восстановлены. Удаленный доступ работает (В плане принимает настройки на отключение и т.п.).
Точки восстановления тоже теперь работают корректно.

Прочий мусор я уже сам подправлю. SecurityCheck нужен для видимости? Ибо там только обновления на 1-2 версии вперед. Прочей гадости нет.
p.s. Файлы карантина Вебера и созданные AVbr нужно куда отослать?

 

[Sandor]

нужно куда отослать?

Не нужно. Всё уже всем известно

Читайте Рекомендации после удаления вредоносного ПО

 

[TheFirstNoob]

Тогда благодарю за помощь!