Неуловимый вирус. Автоматически просматривает видео в ютубе.

RSS

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 15.08.2022 21:54:43

Добрый вечер! Вот это прочитал https://forum.esetnod32.ru/forum6/topic5713/ Там написано, что нужно выполнить лог программой UVS! Так вот я скачал UVS и далее запустил.

Но возникла некоторая проблема!

У меня Windows 11 сейчас) Точно ли все нормально? (этот файл как раз из папки с программой UVS!)

У меня был windows 10 с установленным антивирусом "Касперский" (и постоянно запущенным). Где-то пару недель назад, каждый раз после перезагрузки ноута переставал открываться основной профиль в браузере Хром, а в диспетчере задач браузер отображался "как активный" (когда я его закрывал после того, как не смог открыть профиль), в это же время на 2-3 секунды воспроизводился какой-то звуковой фрагмент. Я заметил, что в истории просмотров на ютубе появлились какие-то видео с арабскими названиями малочисленных каналов на совершенно рандомную тематику (я их не смотрел, а короткие звуковые фрагменты были ровно из этих видеороликов).

Я несколько раз делал полную проверку всего ПК Касперским (Total Secuirity), после его удалил и Windows Defender обнаружил несколько вирусов и обезвредил их (вирусы из серии "кейген"). Но и это никак не помогло, ситуация продолжалась.
Я скачал Dr.Web cure it и он не нашел ничего (при полной проверке на вирусы). И после того, все новые видео в истории просмотров ютуба пополнялись. И еще, при этом ноут стал греться сильно.
Вчера я решил обновиться до 11 windows, авось это поможет. Но я ошибся, это не помогло. Понятно дело, что можно переустановить windows, но я очень не хочу заново устанавливать кучу программ и вспомогательных утилит, которые нужно будет заново подстраивать под себя с нуля, а это очень и очень долго) Что можете посоветовать? Еще, все чаще появляется ошибка "kernel data inpage error" и ноут сам перезагружается в произвольный момент времени (примерно раз в 3 дня такое происходит, но в windows 11 еще такого не было).
Помимо автоматического просмотра видео на арабском языке, еще попутно открывается вот этот сайт иногда.

Сегодня я еще устанавливал Bitdefender, он находил какие-то вирусы, но не те, ибо это не помогло, ситуация продолжала повторяться. Я сделал быструю проверку esetnod, уязвимостей найдено не было. Как подловить вирус(ы)?

Изменено: Kot Obormot - 15.08.2022 21:55:44

Ответы

Пред. 1 2 3 4 5 След.

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 18.08.2022 12:58:37

Спасибо! Но есть еще одна проблема. Теперь браузер Chrome показывает, что у меня часть паролей было "раскрыто", это около 10-15% от всех паролей. Часть из них были повторяющиеся, а часть простые. Половина 1 день назад, а половина 10 часов назад, после удаления controle.vbs. Видимо вирус все еще не дремлет(((

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.08.2022 13:46:54

Kot Obormot

У вас одних ярлыков в системе 900
Более 200 ( только непроверенных ) скриптов.
И более 130 установленных программ...
--------
Нужен новый образ автозапуска в uVS
и Лог в FRST
будем удалять всё... подозрительное.

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 18.08.2022 15:24:38

Спасибо. Я постарался часть скриптов перенести на флешку, которой буду изредка пользоваться.

Я могу постараться много поудалять ненужных программ и скриптов, просто знать бы какие именно)

Прикрепленные файлы

FRST.txt (98.44 КБ)
Addition.txt (288.16 КБ)
DESKTOP-DKCSHOQ_2022-08-18_15-20-01_v4.12.7z (959.53 КБ)

Изменено: Kot Obormot - 18.08.2022 15:25:32

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.08.2022 16:32:58

1) Сохраните файл: fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE deltmp restart ;---------command-block--------- delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID] delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID] delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE delref CLIENTS2.GOOGLE.COM delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected] delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected] apply

Код

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\NPACE_PLUGIN.DLL
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIONS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE
delref CLIENTS2.GOOGLE.COM
delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
apply

Прикрепленные файлы

fixlist.txt (5.77 КБ)

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 18.08.2022 17:26:57

Спасибо. На uvS ругался антивирус (то, что это троян), но я все равно сделал!

Прикрепленные файлы

Fixlog.txt (8.05 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.08.2022 17:36:29

Далее выполните лог программой Malwarebytes ( Kasper - на время установки Malwarebytes - отключите )
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

+
Сделайте комплексный лог Autoruns ( отчёт сюда )
https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/

Изменено: RP55 RP55 - 18.08.2022 17:39:26

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 18.08.2022 18:11:25

Сделал, вроде бы так, вирусы какие-то нашлись))) У autoruns поменял расширение, чтобы можно было сюда загрузить) .arn сюда не грузится

Вирусы я поместил на карантин. Кстати, если я потом удалю эту программу, то вирусы вместе с карантином - тоже удалятся?)

Интересно, что я ради интереса провел еще одно сканирование, еще один вирус нашелся. Третья проверка 0 угроз!

Прикрепленные файлы

Изменено: Kot Obormot - 18.08.2022 18:22:01

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.08.2022 18:40:19

Можно ещё этим почистить: https://www.comss.ru/page.php?id=2421
Но... там нужно внимательно смотреть - что будет предложено к удалению.
Так - что будут нужны снимки вкладок с найденным. ( ЧТОБЫ ВСЁ БЫЛО ВИДНО :) )
+
Обновите все браузеры ( если есть доступные обновления ) ( даже те браузеры которые у вас стоят - но вы с ними не работаете )
И потом ( после всего :) ) - Желательно изменить пароли.

Изменено: RP55 RP55 - 18.08.2022 18:49:08

Сообщений: 26

Баллов: 13

Регистрация: 15.08.2022

Размещено 18.08.2022 18:54:11

Спасибо большое!

Вот что нашлось! Нужно ли что-то еще заскринить?
Там есть вкладки с браузерами, программами и автостарта. Но там много всего, часть боксов с галочками, часть без. А нужно ли галочки на всех Malware related fixes?

Изменено: Kot Obormot - 18.08.2022 19:00:51

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 18.08.2022 19:14:02

Цитата
Kot Obormot написал: А нужно ли галочки на всех Malware related fixes?

Это ( сейчас ) не нужно трогать.
Там:
Очистка временных файлов ( папки Temp ) - это мы почистили
Проверка диска на ошибки.
и т.д. - Это не нужно.
------------
Желательно посмотреть все вкладки - снимки. ( можно все фото в архив ) и одним файлом на форум.

Пред. 1 2 3 4 5 След.