Неизвестные службы /подозрение заражения / (актуально)

@Osac · Регистрация: 27.09.2021

Author24 — интернет-сервис помощи студентам

Недавно прихватил вирус, когда скачивал прогу.
День назад drweb cureit просканировал и нашёл некий Fri945...(и кучу цифр), на следующий день проверил и всё по новой. Нашёл downlouder droper и Trojan.Siggen15.15267.
Ищу причину повторного заражения. Нашёл странные службы (прикреплен скриншот).
Кто знает: является ли это повреждением, вирусом или нормальными службами?

@Osac · 27.09.2021, 23:28 **[ТС]**

Вот точные названия.

@Sandor · 28.09.2021, 09:11

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Osac · 30.09.2021, 09:06 **[ТС]**

Логи

@Sandor · 30.09.2021, 09:36

Внимание! Рекомендации написаны специально для пользователя Osac. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

1. Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Подготовьте и прикрепите лог сканирования AdwCleaner.

@Osac · 30.09.2021, 17:55 **[ТС]**

Логи Adw (без use Quarantine) + ClearLNK

@Sandor · 01.10.2021, 07:59

1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@Osac · 01.10.2021, 21:55 **[ТС]**

Логи (adw+frst)

@Osac · 02.10.2021, 11:53 **[ТС]**

Adw*

@Sandor · 02.10.2021, 17:49

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1587916382-3093623960-484519106-1001\...\Run: [WinHost] => C:\Users\User\AppData\Roaming\WinHost\WinHoster.exe <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=821268
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=818408"
2021-09-24 07:53 - 2021-09-24 07:53 - 000252416 _____ (jfasdjk) C:\ProgramData\256784.exe
2021-09-24 07:53 - 2021-09-24 07:53 - 002771456 _____ (RealDefense LLC) C:\ProgramData\324822.exe
2021-09-24 07:53 - 2021-09-24 07:53 - 000060416 _____ (Derefner) C:\ProgramData\722599.exe
2021-09-24 07:53 - 2021-09-24 07:53 - 003057152 _____ (RealDefense LLC) C:\ProgramData\8332538.exe
2021-09-24 07:53 - 2021-09-24 07:53 - 000262144 _____ (jfasdjk) C:\ProgramData\8458655.exe
2021-09-24 07:53 - 2021-09-24 07:53 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2021-09-24 07:53 - 2021-09-24 07:53 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2021-09-24 07:53 - 2021-09-24 07:53 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2021-09-24 07:53 - 2021-09-24 07:53 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2021-09-24 07:53 - 2021-09-24 07:53 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

@Osac · 02.10.2021, 19:24 **[ТС]**

Scan выполнил. Надеюсь помогло, проверю завтра (обычно каждый день с 19 00 появляется вирус).

@akok · 02.10.2021, 19:41

++++ после лечения смените пароли, судя по детеку, их могли украсть.

@Osac · 03.10.2021, 12:24 **[ТС]**

Успешно! Хотя вчера вечером вылез некий udptest.exe, что drweb выделил как вирус.
В любом случае сегодня угроз не показала. Повторного заражения не последовало! Спасибо!

@Osac · 03.10.2021, 12:25 **[ТС]**

Ранее был такой перечень при каждом сканировании:

@Osac · 03.10.2021, 13:31 **[ТС]**

Хотя начали происходить какие-то проблемы с интернетом, но возможно это провайдер шалит

@Sandor · 03.10.2021, 13:55

Давайте проверим уязвимые места и устаревшее критическое ПО:

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Osac · 03.10.2021, 21:07 **[ТС]**

Log

@Osac · 05.10.2021, 20:22 **[ТС]**

Думаю, тема закрыта. Спасибо, за помощь)

@Sandor · 06.10.2021, 08:03

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14326.20404 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.7.8 (64-bit) v.3.7.8150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.01 (64-разрядная) v.4.01 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.2.3 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.12.1878, 26.12.2016 Внимание! Скачать обновления
K-Lite Codec Pack 12.8.0 Standard v.12.8.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

Выполните процедуру, описанную на этой странице.
Ссылку на результат анализа приведите здесь, пожалуйста.

В завершение:

Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте Рекомендации после удаления вредоносного ПО

@Osac · 07.10.2021, 19:00 **[ТС]**

Не уверен связано ли это с моим компьютером, пока проигнорирую это.
(Просматривая отчёт зашёл на VT файла C:\...\FACEIT\update.exe во вкладке Связи/Родители Исполнения наткнулся на некий 5be67872bc8dc04fe955fed4e89490c1.virus с занятным расширением)

Неизвестные службы /подозрение заражения / (актуально)

Решение

Решение

Решение

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
		1
	Неизвестные службы /подозрение заражения / (актуально) 27.09.2021, 18:52. Показов 2612. Ответов 23 Метки нет (Все метки) Недавно прихватил вирус, когда скачивал прогу. День назад drweb cureit просканировал и нашёл некий Fri945...(и кучу цифр), на следующий день проверил и всё по новой. Нашёл downlouder droper и Trojan.Siggen15.15267. Ищу причину повторного заражения. Нашёл странные службы (прикреплен скриншот). Кто знает: является ли это повреждением, вирусом или нормальными службами? Миниатюры 0

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	27.09.2021, 23:28 [ТС]	2
	Вот точные названия. Миниатюры 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	28.09.2021, 09:11	3
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 1

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	30.09.2021, 09:36	5
	Сообщение было отмечено Osac как решение Решение Внимание! Рекомендации написаны специально для пользователя Osac. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ 1. Файл CheckBrowserLnk.log из папки ...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. 2. Подготовьте и прикрепите лог сканирования AdwCleaner. 1

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	01.10.2021, 07:59	7
	Сообщение было отмечено Osac как решение Решение 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 1

@akok 2828 / 846 / 29 Регистрация: 01.09.2009 Сообщений: 1,038
	02.10.2021, 19:41	12
	++++ после лечения смените пароли, судя по детеку, их могли украсть. 2

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	03.10.2021, 12:24 [ТС]	13
	Успешно! Хотя вчера вечером вылез некий udptest.exe, что drweb выделил как вирус. В любом случае сегодня угроз не показала. Повторного заражения не последовало! Спасибо! Миниатюры 0

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	03.10.2021, 12:25 [ТС]	14
	Ранее был такой перечень при каждом сканировании: Миниатюры 0

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	03.10.2021, 13:31 [ТС]	15
	Хотя начали происходить какие-то проблемы с интернетом, но возможно это провайдер шалит 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	03.10.2021, 13:55	16
	Давайте проверим уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	05.10.2021, 20:22 [ТС]	18
	Думаю, тема закрыта. Спасибо, за помощь) 0

@Sandor 22283 / 15767 / 3048 Регистрация: 08.10.2012 Сообщений: 64,091
	06.10.2021, 08:03	19
	--------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14326.20404 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Python 3.7.8 (64-bit) v.3.7.8150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 4.01 (64-разрядная) v.4.01 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- uTorrent Web v.1.2.3 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- AIMP v.v4.12.1878, 26.12.2016 Внимание! Скачать обновления K-Lite Codec Pack 12.8.0 Standard v.12.8.0 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC. Выполните процедуру, описанную на этой странице. Ссылку на результат анализа приведите здесь, пожалуйста. В завершение: Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. Читайте Рекомендации после удаления вредоносного ПО 0

@Osac 0 / 0 / 0 Регистрация: 27.09.2021 Сообщений: 26
	07.10.2021, 19:00 [ТС]	20
	Не уверен связано ли это с моим компьютером, пока проигнорирую это. (Просматривая отчёт зашёл на VT файла C:\...\FACEIT\update.exe во вкладке Связи/Родители Исполнения наткнулся на некий 5be67872bc8dc04fe955fed4e89490c1.virus с занятным расширением) Миниатюры 0