none
Помогите пожалуйста, проблема с вирусом RRS feed

  • Вопрос

  • Изза вируса, я не могу ничего сделать в системе, он вытворил какую - то ахинею, и теперь пишет якобы Запросите разрешение от СЕБЯ для выполнения задачи. Еще всегда пропадает диспетчер задач. Удалены все точки восстановления, и прочая дрянь. У меня вопрос как сбросить все данные с компьютера, без диска, флешки и т.д. И насколько я в плохой ситуации.

    P.S Пытался чистить комп dr web-ом а остальные антивирусы просто не запускаются изза вируса.

    Надеюсь написал на тот форум который нужно.


    • Изменено GearTop 7 октября 2019 г. 15:11
    7 октября 2019 г. 15:09

Все ответы

  • о какой ос идет речь? если windows то вы по адресу (хоть и не совсем)

    на заведомо рабочем пк (другом, не зараженном) записываете флешку/cd с автономным антивирусом, выбираете глубокую проверку с удалением (автоматическим) всего что он найдет.

    вынимаете диск с антивирусом, загружаетесь в ос, клацаете минут 10, после чего перезашружаетесь и повторяете экзекуцию

    если во второй - третий раз антивирус ничего не найдет, то радуйтесь  -возможно у вас что-то получилось

    берете чистый новый hdd (на котором нет фотографий за всю жизнь, коллекции фильмов неоднозначного производства, секретных документов и пр. что было бы обидно потерять) и копируете с зараженного диска только самое необходимое (последнюю версию дипломной работы, закладки из браузера и пр, что имеет большую ценность для вас)

    далее с установочного cd/usb переустанавливаете систему с полным форматированием > ставите антивирус, полностью обновляете все и после проверки внешнего носителя переносите инфу назад с внешнего носителя на внутренний.

    если у вас нет вообще ничего и никого (вы отшельник посреди леса), то вы можете отправить ваш пк в ближайший сц для решения вашего вопроса (в этом случае скорее всего переносить инфу никто не будет, а просто отформатят диск и поставят ос с 0)


    The opinion expressed by me is not an official position of Microsoft

    • Предложено в качестве ответа Vector BCOModerator 2 ноября 2019 г. 15:22
    7 октября 2019 г. 15:38
    Модератор
  • Здравствуйте,

    Если у Вас есть подозрения на заражение ПК различными вирусами, то лучше обращаться на специализированные форумы.

    Предоставите лог сторонней антивирусной утилиты FRST согласно следующей инструкции:
    Важно: обратите внимание, что указанная утилита, может показать возможное использование средств обхода лицензионного соглашения.
    - Скачайте Farbar Recovery Scan Toolи сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

      • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
      • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SignCheckExt".

      • Нажмите кнопку Scan.
      • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).
      • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении в качестве ссылки на скачивания с файлового хранилища (например onedrive).



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    7 октября 2019 г. 16:34
    Модератор
  • https://1drv.ms/t/s!Au1y03hg7qSOamaweKEbEwMNDVw?e=z9LIVk - FRST

    https://1drv.ms/t/s!Au1y03hg7qSOa0IYV1xL1Lbo84Y?e=O6B3Jo - Addition.

    Пожалуйста, отвечу по возможности если ко мне будут вопросы.


    • Изменено GearTop 8 октября 2019 г. 16:29
    8 октября 2019 г. 16:25
  • Здравствуйте,

    Что из следующего вам знакома?

    HKLM\System\...\Parameters\PersistentRoutes: [0.0.0.0,0.0.0.0,26.0.0.1,9256]
    
    C:\Users\Илья\AppData\Roaming\64.zip
    C:\Users\Илья\AppData\Local\2poh8kqbxycr.zip
    




      • Закройте и сохраните все открытые приложения.
      • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
      Start::
      CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
      CreateRestorePoint:
      CloseProcesses:
      Zip: C:\Program Files\Process Hacker 2\ProcessHacker.exe;C:\Windows\System.lnk;C:\Windows\System.vbe;C:\Windows\vmcheck32.dll;C:\Windows\System.vbe;C:\Windows\msg.vbs;C:\Windows\CYncqC3EBCTbyqPB5G9Jb93pyKCeAw.vbs;C:\Windows\hgo7TcZgtSg1iO3tQGuiLNrardAdNo.bat;C:\Windows\MOS;C:\ProgramData\Ionic.Zip.dll;C:\aapt.exe;C:\Windows\rss\csrss.exe
      (Wen Jia Liu -> wj32) C:\Program Files\Process Hacker 2\ProcessHacker.exe
      HKU\S-1-5-21-2461528722-516030899-1624217589-1000\...\Run: [d3dx32] => C:\Windows\System.lnk [522 2019-09-29] () [File not signed]
      Startup: C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bkpHst32.lnk [2019-10-07]
      ShortcutTarget: bkpHst32.lnk -> C:\Users\Илья\Pictures\bkpHst32.exe (No File)
      Startup: C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\System.lnk [2019-10-07]
      ShortcutTarget: System.lnk -> C:\Windows\System.vbe () [File not signed]
      Startup: C:\Users\Илья\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winlog.lnk [2019-10-05]
      ShortcutAndArgument: Winlog.lnk -> C:\Windows\cmd.exe => 
      FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
      Task: {4FF24A4B-4386-4950-A4AE-A2B88E9A12AE} - \ScheduledUpdate -> No File <==== ATTENTION
      Task: {68195638-8B67-4B4E-9314-FEE01073EA1D} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
      Task: {795DC775-5299-4EF4-91AA-55BCE58FDBF0} - System32\Tasks\At1 => regedit.exe /E /A "C:\~SAMIns.TMP" "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account" <==== ATTENTION
      Task: {9FF99168-2D40-4F9E-93EC-BE369DCE10EE} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
      Task: C:\Windows\Tasks\At1.job => C:\~SAMIns.TMP
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/
      HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
      HKU\S-1-5-21-2461528722-516030899-1624217589-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
      SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
      SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
      SearchScopes: HKU\S-1-5-21-2461528722-516030899-1624217589-1000 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
      U3 TimeBroker; no ImagePath
      U3 TimeBrokerSvc; no ImagePath
      File: C:\5.exe
      File: C:\4.exe
      2019-10-07 02:16 - 2019-10-07 02:17 - 000000446 _____ C:\Windows\Tasks\At1.job
      2019-10-07 02:16 - 2019-10-07 02:16 - 000001424 _____ C:\Windows\system32\Tasks\At1
      2019-10-04 07:11 - 2019-10-04 22:42 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
      2019-10-04 07:11 - 2019-10-04 22:42 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
      2019-10-04 07:11 - 2019-10-04 22:42 - 000000000 __SHD C:\ProgramData\WindowsTask
      2019-10-04 07:11 - 2019-10-04 22:42 - 000000000 __SHD C:\ProgramData\RealtekHD
      Folder: C:\ProgramData\ExLoader
      File: C:\Users\Илья\AppData\Roaming\64.zip
      Folder: C:\ProgramData\WMI Provider Host
      2019-09-29 04:10 - 2019-10-05 18:55 - 000000667 _____ C:\Windows\Winlog.lnk
      2019-09-29 04:10 - 2019-09-29 04:10 - 000000522 _____ C:\Windows\System.lnk
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000388 _____ C:\Windows\vmcheck32.dll
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000367 _____ C:\Windows\System.vbe
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000128 _____ C:\Windows\msg.vbs
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000117 _____ C:\Windows\CYncqC3EBCTbyqPB5G9Jb93pyKCeAw.vbs
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000100 _____ C:\Windows\hgo7TcZgtSg1iO3tQGuiLNrardAdNo.bat
      2019-09-29 04:10 - 2019-09-22 05:58 - 000000030 _____ C:\Windows\MOS
      Folder: C:\Users\Илья\AppData\Roaming\extrimhack
      Folder: C:\Users\Илья\AppData\Roaming\Loader
      Folder: C:\Users\Илья\AppData\Roaming\winlogon32xbit64x
      Folder: C:\ProgramData\TempFileses
      2019-07-12 07:58 - 2019-07-12 08:12 - 000000000 _RSHD C:\Users\Все пользователи\{c5f1be00-5fac-0ebf-2e0b-7cacd65b553c}
      2019-07-12 07:58 - 2019-07-12 08:12 - 000000000 _RSHD C:\ProgramData\{c5f1be00-5fac-0ebf-2e0b-7cacd65b553c}
      File: C:\Windows\SysWOW64\lastpass_1337.exe
      Shortcut: C:\Users\Илья\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9958100747fea7a2\Амиго.lnk -> C:\Users\Илья\AppData\Local\Amigo\Application\amigo.exe (No File) <==== Cyrillic
      HKU\S-1-5-21-2461528722-516030899-1624217589-1000\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
      MSCONFIG\startupreg: chrome => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 http://de-mi-nis-ner.info/cdn-38.html?t=0.4
      MSCONFIG\startupreg: CloudNet => "C:\Users\Илья\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe"
      MSCONFIG\startupreg: d3dx32 => C:\Windows\System.lnk
      MSCONFIG\startupreg: FloralSun => "C:\Windows\rss\csrss.exe"
      MSCONFIG\startupreg: geqixluwaa => explorer "http://eqvizin.ru/?utm_source=uoua03&utm_content=30279481911209992ea2df3b8dc4809c&utm_term=B7B349D9AFC0DC389F1D25A8E9196221&utm_d=20170626"
      MSCONFIG\startupreg: go => C:\Users\Илья\AppData\Local\Go!\Application\go.exe --no-startup-window
      MSCONFIG\startupreg: jsezmhejlq => explorer "http://buksov.ru/?utm_source=uoua03&utm_content=edba48414bdf3580f490f4cfcafe21a5&utm_term=B7B349D9AFC0DC389F1D25A8E9196221&utm_d=20170626"
      MSCONFIG\startupreg: setupsk => "C:\Users\75BD~1\AppData\Roaming\setupsk\python\pythonw.exe" "C:\Users\75BD~1\AppData\Roaming\setupsk\ml.py" --APPNAME="setupsk"
      MSCONFIG\startupreg: setupsk_upd => "C:\Users\75BD~1\AppData\Roaming\SETUPS~1\python\pythonw.exe" "C:\Users\75BD~1\AppData\Roaming\SETUPS~1\ml.py" --APPNAME="setupsk_upd"
      MSCONFIG\startupreg: YoutubeDownloader => "C:\Users\Илья\AppData\Roaming\YoutubeDownloader\python\pythonw.exe" "start.pyc" ml3
      MSCONFIG\startupreg: YoutubeDownloader_upd => "C:\Users\Илья\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe" "start.pyc" ml3
      MSCONFIG\startupreg: Zaxar => "C:\Program Files (x86)\Zaxar\ZaxarLoader.exe" /verysilent
      Reboot:
      End::
      
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, приложите сслылку на него в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.


    На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    8 октября 2019 г. 18:40
    Модератор
  • Всё сделал. Что дальше? (архив загрузил)

    И да, попытался вновь установить ESET Nod32 (антивирус) не скачивается(. Похоже изза вируса(.

    Нет, ничего из перечисленного мне не известно.

    Fixlog.txt --- https://1drv.ms/t/s!Au1y03hg7qSObBvw5yY_eT1PfLY?e=zEcbu9

    • Изменено GearTop 10 октября 2019 г. 16:43
    10 октября 2019 г. 7:49
  • отправил карантин антивирусным вендорам, в ближайщее время они добавят вредоносное ПО в их сигнатуры.

    Скачайте программу Universal Virus Sniffer  и сделайте полный образ автозапуска uVS.

    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 11 октября 2019 г. 1:12 обновлено
    11 октября 2019 г. 1:11
    Модератор
  • Проверил компьютер неким Zemana AntiMalware он нашел какой-то PUP.Optional.Legacy и связанные с ним приложения если надо могу прикрепить скриншот. при удалении же он автоматом запускается опять. 

    И да, проверил и там пусто. (образ автозапуска)

    • Изменено GearTop 11 октября 2019 г. 10:10
    11 октября 2019 г. 10:04
  • И да, проверил и там пусто. (образ автозапуска)

    Мне необходим сам лог. Антивирусные вендоры запросил файл zMCglvXsuN1YF84Njghc.exe который возможно еще присутствует в вашей системе. Указанный вредоносные файл указан в предыдущих вредоносных файлов, однако в предыдущих логах не был найден.

    Отчет по прежднему карантину:
    --------------------------------------
    файл который уже детектируется:

    -------------------------------------
    ProcessHacker.exe  -       not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen #33981322
    --------------------------------------
    Найденное новое вредоносное ПО:

    -------------------------------------
    System.lnk    Trojan.WinLNK.Starter.di
    System.vbe   Trojan.VBS.Starter.lx
    CYncqC3EBCTbyqPB5G9Jb93pyKCeAw.vbs_   -  Trojan.VBS.Starter.lw
    hgo7TcZgtSg1iO3tQGuiLNrardAdNo.bat_   -   Trojan.BAT.Starter.nk

    --------------------------------------

    Файлы которые не представляют угрозы:

    -------------------------------------
    vmcheck32.dll       
    Ionic.Zip.dll       
    MOS   
    msg.vbs     
    aapt.exe_

    --------------------------------------

    Файлы которые не представляют угрозы можно восстановить из карантина утилиты FRST (однако если ориентировать по дате в системе они появились в системе в один и тот е момент). Если хотите их восстановить, то не удаляйте каталог C:\FRST в котором находится карантин.


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 11 октября 2019 г. 19:17 обновлено
    11 октября 2019 г. 19:15
    Модератор
  • https://1drv.ms/u/s!Au1y03hg7qSObYaEXQuinLJHNcc?e=UQBiUd
    12 октября 2019 г. 14:46
  • В логе ничего плохого более не замечено. можете удалять логи.

    Проверьте только пожалуйста следующий файл на virustotal.com:
    C:\PROGRAM FILES (X86)\MIGUE_20\REGEDIT.EXE


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    • Изменено SQxModerator 12 октября 2019 г. 15:37 обновлено
    12 октября 2019 г. 15:36
    Модератор
  • Но почему-то, все еще не могу скачать НИ ОДИН антивирус.(( то-есть открываю - он закрывается, устанавлиаю через безопасный режим, точно также, борюсь с этим уже 3 дня и не как не могу(.

    • Изменено GearTop 13 октября 2019 г. 7:31
    13 октября 2019 г. 7:27
  • Но почему-то, все еще не могу скачать НИ ОДИН антивирус.(( то-есть открываю - он закрывается, устанавлиаю через безопасный режим, точно также, борюсь с этим уже 3 дня и не как не могу(.

    использовав первый совет вы бы уже решили проблему

    переустановка ос со всем софтом и обновлениями занимает 1 день, с учетом того что нужно сходить к приятелю и купить флешку - возможно 2 дня. Что в любом случае меньше 3х


    The opinion expressed by me is not an official position of Microsoft

    13 октября 2019 г. 9:30
    Модератор
  • Но почему-то, все еще не могу скачать НИ ОДИН антивирус.(( то-есть открываю - он закрывается, устанавлиаю через безопасный режим, точно также, борюсь с этим уже 3 дня и не как не могу(.

    Уточните пожалуйста, что показывает проверка целостности системных файлов?

    sfc /scannow



    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    13 октября 2019 г. 14:34
    Модератор
  • Прописал.

    Система не может восстановить CBS.log,

    Путь:С:\Windows\Logs\CBS\CBS.log



    • Изменено GearTop 14 октября 2019 г. 10:18
    14 октября 2019 г. 10:17

  • Скачайте SFCFix.exe (by niemiro)  и поместите на рабочей стол.
    - Запустите программу.
    - При запросах, нажмите "enter" (в общем должно получиться три раза).
    - подождите завершения.
    - по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.




    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    14 октября 2019 г. 13:30
    Модератор
  • https://yadi.sk/d/PL4mQuMfcawNOQ
    16 октября 2019 г. 15:13
  • Перегрузите ПК и проверьте если проблема с целостностью системных файлов еще присутствует:
    sfc /scannow


    Avis de non-responsabilité:
    Mon opinion ne peut pas coïncider avec la position officielle de Microsoft.

    Bien cordialement, Andrei ...

    MCP

    16 октября 2019 г. 20:35
    Модератор