Перейти к содержимому


Фото
- - - - -

Прошу помощи в излечении системы!

Trojan Вирус Закрытие окон

  • Закрыто Тема закрыта
47 ответов в этой теме

#21 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 02 Апрель 2024 - 22:07

Итак. Два часа танцев с бубнами принесли свои плоды.
Хронология домашнего отдыха:

1. Старт системы. Симптомы на месте (гаджет "часы" на рабочем столе не появились как и прежде).

2. Запуск FRST. Глохнет (закрывается сразу)
3. Запуск HiJackThis "только проверка", позже удаление указанных ранее пунктов (4,7,22,27). Успешно.

4. Перезагрузка (отключил интернет). При входе появился выбор между моим и ещё одним пользователем системы - John.

5. Выбрал свою учётную запись. Симптомы пропали (появились "часы" на рабочем столе).

6. Удаление учётной записи John через "Управление учётных записей". Подтверждение удаления через regedit и control userpassword2. Успешно.

7. Удаление папки ReaItekHD. Проверка файла hosts. Очистка всех папок Temp. Успешно.

8. Запуск FRST. Успешно. 
9. Запуск HiJackThis "только проверка". Указанных ранее пунктов (4,7,22,27) не обнаружено.
10. Подключение интернета. Загрузка свежего DR.Web CureIt, запуск, проверка. Сканирование угроз не выявило. 
11. Перезагрузка.

Прикрепляю логи программ:

Addition - https://cloud.mail.ru/public/aoPg/o29pZoKbM
FRST - https://cloud.mail.ru/public/BAiB/8xv6tG9QQ
HiJackThis 2 - https://cloud.mail.ru/public/CMEL/DZrEcoaFA
HiJackThis 2.1 - https://cloud.mail.ru/public/b2co/U7Qids5jm

DR.Web FixIt! 02.04.2024 - https://cloud.mail.ru/public/7irB/Kkt7kx7JP



#22 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 02 Апрель 2024 - 22:25

если скачивать их с сайта разработчика

Именно. Но ходит по торрентам и форумам сборки активатора размером под 200 мб, может, уже и более, с ними и получают пациенты всё это. с чем боремся.
 
Вечер добрый! А нет возможности эти 2 файла как то выслать в Вирлаб? Возможно у Вас есть возможность забрать с VT или еще как то )) 
 
https://www.virustotal.com/gui/file/d079cfc0687050d9ff79f4b8b2bfaef6f9690f3ab65a456cb17712e20fdc6f99/detection
https://www.virustotal.com/gui/file/ee6ce6d7b854a98a9c8b8154ba0d75d86c510eb4d4e252b7dc29ade63330912e/detection

Привет Дмитрий , раз попробую сделать VT , скорее всего завтра сяду в комп и поищу )) Вдруг появится и сразу вирлаб ))

Global Malware Hunting.


#23 Vvvyg

Vvvyg

    Member

  • Posters
  • 112 Сообщений:

Отправлено 02 Апрель 2024 - 22:26

Вечер добрый! А нет возможности эти 2 файла как то выслать в Вирлаб? Возможно у Вас есть возможность забрать с VT или еще как то ))

Добрый вечер.

С VT нет возможности, но из карантинов HiJackThis+  и FRST всё выгребем, как закончим, с помощью OrgFrize.


Сообщение было изменено Vvvyg: 02 Апрель 2024 - 22:27


#24 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 695 Сообщений:

Отправлено 02 Апрель 2024 - 22:30

 

Вечер добрый! А нет возможности эти 2 файла как то выслать в Вирлаб? Возможно у Вас есть возможность забрать с VT или еще как то ))

Добрый вечер.

С VT нет возможности, но из карантинов HiJackThis+  и FRST всё выгребем, как закончим, с помощью OrgFrize.

 

 

Спасибо!



#25 Vvvyg

Vvvyg

    Member

  • Posters
  • 112 Сообщений:

Отправлено 02 Апрель 2024 - 23:02

OrgFrize, Выделите и скопируйте в буфер обмена следующий код:

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
Systemrestore: on
CreateRestorePoint:
HKU\S-1-5-19\...\Run: [] => [X]
HKU\S-1-5-20\...\Run: [] => [X]
HKU\S-1-5-21-1673679354-1949173734-1206932741-1000\...\Run: [] => [X]
Task: {E8216000-0C31-4D61-B4EA-11F22263648E} - \DriverPack Notifier -> Нет файла <==== ВНИМАНИЕ
Task: {EED6938B-2619-4B5B-8DD2-DD9572C79354} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe  (Нет файла)
Task: {0C16785D-B2B3-47E2-9636-0C07C119894F} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe  /from_scheduler:1 (Нет файла)
Task: {2C3C1564-4A95-4138-BF55-45C31C7E966F} - System32\Tasks\DriverPack Cloud => "C:\Program Files (x86)\DriverPack Cloud\cloud.exe"  (Нет файла)
Task: {257E70E5-01F1-4F40-B435-89BCA81EA3BC} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {87EB6B92-4294-4BF5-89D9-60D3339BADB7} - System32\Tasks\Telamon Cleaner => "C:\Program Files (x86)\Telamon Cleaner\tt-cleaner.exe"  --autorun (Нет файла)
Task: {8E159B06-7FAF-4D83-B3A6-FE1E39DB8674} - System32\Tasks\UDLUpdater => C:\Users\1\AppData\Local\UDL\Updater\487f9d0\Updater.exe  /check_updates (Нет файла)
Task: {7E023FA8-008E-4EE4-980C-EA8E0DFFB9F8} - System32\Tasks\VKDJ => C:\ProgramData\VkontakteDJ\VkontakteDJ.exe  /H (Нет файла) <==== ВНИМАНИЕ
Task: {06D1BB1B-6DDB-4CAD-828C-8E90CE8DD02E} - System32\Tasks\VKSaverUpdate => C:\ProgramData\VKSaver\VKSaver.exe  -autoupdate (Нет файла) <==== ВНИМАНИЕ
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif]
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.1844\McCHSvc.exe" [X]
S2 Adguard Service; "C:\Program Files (x86)\AdGuard\AdguardSvc.exe" [X]
U3 aswbdisk; отсутствует ImagePath
Unlock: C:\ProgramData\WindowsTask
Unlock: C:\ProgramData\Norton
C:\ProgramData\WindowsTask
Unlock: C:\Program Files\Common Files\AV
Unlock: C:\Program Files\Common Files\Doctor Web
2024-03-31 23:22 C:\Program Files\AVAST Software
2024-03-31 23:22 C:\Program Files\AVG
2024-03-31 23:22 C:\Program Files\Bitdefender Agent
2024-03-31 23:22 C:\Program Files\ByteFence
2024-03-31 23:22 C:\Program Files\Cezurity
2024-03-31 23:22 C:\Program Files\COMODO
2024-03-31 23:22 C:\Program Files\DrWeb
2024-03-31 23:22 C:\Program Files\Enigma Software Group
2024-03-31 23:22 C:\Program Files\EnigmaSoft
2024-03-31 23:22 C:\Program Files\ESET
2024-03-31 23:22 C:\Program Files\HitmanPro
2024-03-31 23:22 C:\Program Files\Kaspersky Lab
2024-03-31 23:22 C:\Program Files\Loaris Trojan Remover
2024-03-31 23:22 C:\Program Files\Malwarebytes
2024-03-31 23:22 C:\Program Files\NETGATE
2024-03-31 23:22 C:\Program Files\Process Hacker 2
2024-03-31 23:22 C:\Program Files\Process Lasso
2024-03-31 23:22 C:\Program Files\QuickCPU
2024-03-31 23:22 C:\Program Files\Rainmeter
2024-03-31 23:22 C:\Program Files\Ravantivirus
2024-03-31 23:22 C:\Program Files\RogueKiller
2024-03-31 23:22 C:\Program Files\SpyHunter
2024-03-31 23:22 C:\Program Files\SUPERAntiSpyware
2024-03-31 23:22 C:\Program Files\Transmission
2024-03-31 23:22 C:\Program Files (x86)\360
2024-03-31 23:22 C:\Program Files (x86)\AVAST Software
2024-03-31 23:22 C:\Program Files (x86)\AVG
2024-03-31 23:22 C:\Program Files (x86)\Cezurity
2024-03-31 23:22 C:\Program Files (x86)\GPU Temp
2024-03-31 23:22 C:\Program Files (x86)\GRIZZLY Antivirus
2024-03-31 23:22 C:\Program Files (x86)\Kaspersky Lab
2024-03-31 23:22 C:\Program Files (x86)\Microsoft JDX
2024-03-31 23:22 C:\Program Files (x86)\Moo0
2024-03-31 23:22 C:\Program Files (x86)\Panda Security
2024-03-31 22:27 C:\Program Files (x86)\SpeedFan
2024-03-31 23:22 C:\Program Files (x86)\SpyHunter
2024-03-31 23:22 C:\Program Files (x86)\Transmission
2020-06-20 23:52 C:\Program Files\Common Files\McAfee
2024-03-31 23:22 C:\Users\1\Desktop\AutoLogger
2024-03-31 23:22 C:\Users\1\Desktop\AV_block_remover
2024-03-31 23:22 C:\Users\1\Downloads\AutoLogger
2024-03-31 23:22 C:\Users\1\Downloads\AV_block_remover
2024-03-31 23:22 C:\Users\1\AppData\Roaming\Sysfiles
2024-03-31 23:22 C:\ProgramData\360safe
2024-03-31 23:22 C:\ProgramData\AVAST Software
2024-03-31 23:22 C:\ProgramData\Avira
2024-03-31 23:22 C:\ProgramData\BookManager
2024-03-31 23:22 C:\ProgramData\Doctor Web
2024-03-31 23:22 C:\ProgramData\ESET
2024-03-31 23:22 C:\ProgramData\Evernote
2024-03-31 23:22 C:\ProgramData\FingerPrint
2024-03-31 23:22 C:\ProgramData\grizzly
2024-03-31 23:22 C:\ProgramData\Kaspersky Lab
2024-03-31 23:22 C:\ProgramData\Kaspersky Lab Setup Files
2024-03-31 23:22 C:\ProgramData\McAfee
2024-03-31 23:22 C:\ProgramData\princeton-produce
2024-03-31 23:22 C:\ProgramData\PuzzleMedia
2024-03-31 23:22 C:\ProgramData\RobotDemo
2024-03-31 23:22 C:\ProgramData\WavePad
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

Запустите FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст в той же папке лог-файл Fixlog.txt. Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен.
 
Папки Backup (в том же месте, откуда запускали HiJackThis+ при фиксе) и C:\FRST\Quarantine упакуйте в WinRar с паролем, выложите в облако, ссылки и пароль сообщите Dmitry Shutov в личном сообщении.


#26 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 03 Апрель 2024 - 00:12

 

OrgFrize, Выделите и скопируйте в буфер обмена следующий код:


Компьютер будет перезагружен.
 
Папки Backup (в том же месте, откуда запускали HiJackThis+ при фиксе) и C:\FRST\Quarantine упакуйте в WinRar с паролем, выложите в облако, ссылки и пароль сообщите Dmitry Shutov в личном сообщении.

 

 

 

Всех этих наших совместных действий хватило, чтобы решить проблему или завтра ожидать продолжения? f09fa790.png



#27 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 03 Апрель 2024 - 00:45

Ой, забыл Fixlog добавить. Спать пора.

https://cloud.mail.ru/public/ZqVU/vqETY9Uvj



#28 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 07:12

Пришлите пожалуйста C:\FRST и запакуйте файлы и отправить в ЛС . После очищение предоставленной Vvygg, а позже то что Dmitry Shutov предоставил VirusTotal -будет найдено сэмпл .

Сообщение было изменено Dr.Web Ransom Hunter.: 03 Апрель 2024 - 07:14

Global Malware Hunting.


#29 Vvvyg

Vvvyg

    Member

  • Posters
  • 112 Сообщений:

Отправлено 03 Апрель 2024 - 07:50

Всех этих наших совместных действий хватило, чтобы решить проблему или завтра ожидать продолжения?

 

Майнер был нейтрализован фиксом в Hijackthis+, в FRST уже дочищали следы. Повторения быть не должно.

 

Архив карантина FRST, несмотря на ошибки, должен быть создан, отпишите мне тоже в личку ссылку и пароль.

С карантином HijackThis+ дела хуже, запускать утилиту лечения прямо из архива - неправильно. Отпишу чуть позже, как найти.

Сделайте ещё такой лог.

 

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите из меню по щелчку правой кнопки мыши Запуск от имени администратора.
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
 
Приложите этот файл к своему следующему сообщению.
 
Кстати, небольшие файлы проще не выкладывать в облако, а закружать прямо в форум, нажмите "Полный редактор" под окном ввода сообщения, внизу меню будет.


#30 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 03 Апрель 2024 - 08:12

 

Пришлите пожалуйста C:\FRST и запакуйте файлы и отправить в ЛС . После очищение предоставленной Vvygg, а позже то что Dmitry Shutov предоставил VirusTotal -будет найдено сэмпл .

 

про VirusTotal не совсем понял...

 

 

Прикрепленные файлы:


Сообщение было изменено OrgFrize: 03 Апрель 2024 - 08:13


#31 Vvvyg

Vvvyg

    Member

  • Posters
  • 112 Сообщений:

Отправлено 03 Апрель 2024 - 08:52

OrgFrize, судя по логу HijackThis+, сделанному перед фиксом, запускался он отсюда:

C:\Users\1\AppData\Local\Temp\Rar$EXa0.619\HiJackThis.exe

Т. е. бэкап и карантин должны быть в этой папке: C:\Users\1\AppData\Local\Temp\Rar$EXa0.619

WinRar 5.40, установленный у Вас, не должен подчищать эти временные папки. Упакуйте содержимое папки Backup с паролем, выложите, и дайте ссылку в личку.

 

По логу SecurityCheck отвечу позже.



#32 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 09:22

OrgFiz , рекомендую деинсталировать Norton Security, поставить Доктор веб .

Global Malware Hunting.


#33 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 03 Апрель 2024 - 10:34

OrgFiz , рекомендую деинсталировать Norton Security, поставить Доктор веб .

 

Поставить "DR.WEB SECURITY SPACE"? он будет контролить трафик на вредоносное программное обеспечениеность?



#34 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 11:24

 

OrgFiz , рекомендую деинсталировать Norton Security, поставить Доктор веб .

 

Поставить "DR.WEB SECURITY SPACE"? он будет контролить трафик на вредоносное программное обеспечениеность?

 

Есть брандмауэр и она будет блокировать на трафик . 


Сообщение было изменено Dr.Web Ransom Hunter.: 03 Апрель 2024 - 11:24

Global Malware Hunting.


#35 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 11:38

Вирусная лаборатория отправлен с идентификатором :

[drweb.com #11190248]  ,  [drweb.com #11190249]  [drweb.com #11190251]   - 3 сэмпл не детектируемые.

Global Malware Hunting.


#36 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 695 Сообщений:

Отправлено 03 Апрель 2024 - 11:44

 

Вирусная лаборатория отправлен с идентификатором :

[drweb.com #11190248]  ,  [drweb.com #11190249]  [drweb.com #11190251]   - 3 сэмпл не детектируемые.

 

Если что прислал ТС ...то зря, скоро приедет детект

 

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.BtcMine.3787, Tool.BtcMine.2754, Trojan.Starter.8242



#37 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 11:45

 

 

Вирусная лаборатория отправлен с идентификатором :

[drweb.com #11190248]  ,  [drweb.com #11190249]  [drweb.com #11190251]   - 3 сэмпл не детектируемые.

 

Если что прислал ТС ...то зря, скоро приедет детект

 

Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.

Угроза: Trojan.BtcMine.3787, Tool.BtcMine.2754, Trojan.Starter.8242

 

Сори , тогда - что ж =(  Желаю им здоровья и крепкого и выздоровление системы... 


Global Malware Hunting.


#38 Vvvyg

Vvvyg

    Member

  • Posters
  • 112 Сообщений:

Отправлено 03 Апрель 2024 - 12:22

7. Удаление папки ReaItekHD. Проверка файла hosts. Очистка всех папок Temp. Успешно.

 

Не заметил этот момент сразу ( Скорее всего, карантин HijackThis+ уже не добыть.

 

 

В каком смысле дырявая? Как залатать?

 


Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

 

 

Обновления все установлены, но некоторые критические патчи Для Windows 7 либо уже не будут выпущены вовсе, либо доступны только по платной подписке.
Судя по железу:


 

Процессор: AMD FX™-6100 Six-Core Processor 

Процент используемой памяти: 24%
Общий объём физической RAM: 12285.55 MB

 

10-ка будет работать нормально.

 


AV: Norton Security (Disabled - Out of date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
Антивирус отключен и не обновляется, отсутствует в списке установленных программ. Надо удалять  с помощью утилиты от вендора.
И устанавливать другой. Хотя опыт показывает, что при установке репака игры или активатора ничего не поможет, ибо антивирус же надо отключить )


#39 Alexander007

Alexander007

    Foreign Member

  • Posters
  • 1 393 Сообщений:

Отправлено 03 Апрель 2024 - 13:13

Это вирус заточен на основе Протекторе Themida . Чтобы антивирус не детектировал ..

Объяснение : Протектор Themida – это программа который защищает скомпилированный код от попыток анализа, взлома и модификации.

В них состав входит :

Антиотладчик - позволяет защитить код программы от отладки как стандартными отладчиками так и отладчиками уровня ядра. Для вирусмейкеров это весьма полезное свойство. Код троянской программы защищенный протектором, очень тяжело поддается анализу. Кроме того приложение может отказаться запускаться на компьютерах с активными антивирусами или внутри виртуальной машиной.
Антидампер – защищает программу от снятия дампа памяти приложения и сохранения его на диск.
Полиморфизм кода – код исходной программы подвергается полиморфной мутации. При упаковывании - код исходной программы генерируется заново, создавая бесчисленное множество вариаций одного и того же кода

Видно , что автор Майнера - вышел на новый уровень …

Сообщение было изменено Dr.Web Ransom Hunter.: 03 Апрель 2024 - 13:16

Global Malware Hunting.


#40 OrgFrize

OrgFrize

    Newbie

  • Posters
  • 16 Сообщений:

Отправлено 03 Апрель 2024 - 14:22

В каком смысле дырявая? Как залатать?

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз


 

Обновления все установлены, но некоторые критические патчи Для Windows 7 либо уже не будут выпущены вовсе, либо доступны только по платной подписке.
Судя по железу:

 

А при помощи последней версии Win7 на загрузочной флешке возможно обновить уже установленную?

 

 

 

7. Удаление папки ReaItekHD. Проверка файла hosts. Очистка всех папок Temp. Успешно.

 

Не заметил этот момент сразу ( Скорее всего, карантин HijackThis+ уже не добыть.

 

Вечером поищу, вдруг сохранился.

 

 

 

AV: Norton Security (Disabled - Out of date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
Антивирус отключен и не обновляется, отсутствует в списке установленных программ. Надо удалять  с помощью утилиты от вендора.
И устанавливать другой. Хотя опыт показывает, что при установке репака игры или активатора ничего не поможет, ибо антивирус же надо отключить )

 

 

У nis есть прога по полному удалению. Но не знаю, работает ли она на остаточных кусках программы после кривого удаления О_о

 

 

 


 

Процессор: AMD FX™-6100 Six-Core Processor 

Процент используемой памяти: 24%
Общий объём физической RAM: 12285.55 MB

 

10-ка будет работать нормально.

 

 

А где можно безопасно скачать образ, чтобы не нарваться на вшитый вирус и есть ли способ активации? и как обновить систему, не потеряв пути установленных игры и программ?

 

buoy-net-worth.jpg

 

7. Удаление папки ReaItekHD. Проверка файла hosts. Очистка всех папок Temp. Успешно.

 

Не заметил этот момент сразу ( Скорее всего, карантин HijackThis+ уже не добыть.

 

Вечером поищу, вдруг сохранился.





Also tagged with one or more of these keywords: Trojan, Вирус, Закрытие окон

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых