Здравствуйте. Устанавливал скачанную игру, есть подозрения на вирусы.
Симптоматика:
1. ОС запустилась в Безопасный режим с холодного старта (грешил на обновления драйвера тачпада). После загрузки сразу выплыло окно "Завершение ОС менее чем через минуту. Приготовьтесь".
2. Индикатор ЮСБ флешки регулярно помигивает как в этом, так и в другом ноутбуке. Автозапуск был включен на обоих (моя вина). Один раз безопасное извлечение указало ошибку о незавершенных процессах с ней, после этого отключало успешно.
3. При попытке открыть Диспетчер Задач появилось окно-ошибка об отключении этой функции Администратором. Исправилось удалением соответствующего ключа реестра.

Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему?

Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему? »
Один компьютер, одна тема. Чтоб не путаться.

C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли?

C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли? »
Да, вручную, чтобы очищалась папка временных файлов.
Спасибо, что откликнулись.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Unchecky v0.2.16


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.


Компьютер перезагрузится.



Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите свежий CollectionLog.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Значитс так...

1. Quarantine.7z отсутствует. Однако я нашел визуально-подозрительные файлы "троянов" (как говорит virustotal (https://www.virustotal.com/gui/file/328a06af8c383fcec59df965e3af9a603c158d47cda2e92be075c94f8e44ebed/detection)) в папке Windows. Их собрал в архив Quarantine.7z c паролем (вроде бы поставил) malware. Надеюсь, что так правильно было. 2019.12.11_Quarantine_56e76e81e9c618d8a367b48a1c6ea403.7z , Обновленный файл карантина с еще одним объектом (https://www.virustotal.com/gui/file/626c4193cf8c06da88f708bfc35d7aa24254b9f92909901f9cbd0f09cbd7b2ec/details) - 2019.12.11_Quarantine_b821d63c229ab4bcfc8df4b59d7c77ef.7z
Можно в итоге получить информацию - это опасные файлы или лжеположительные?
Интересно, как так получилось? (Вирус заблокировал создания файла Quarantine.7z или комплект Autologger умудрился не задектектить вирусы в папке Windows, или он не задетектил потому что это на самом деле не вирусы?)
2. При загрузке 3-х файлов получил ошибку с FRST.txt: Ваш файл объемом 253.4 Kb превышает предел в 97.7 Kb, установленный на форуме для этого типа файлов.
Добавил его в архив 7z.

Даты создания файлов-троянов совпадают с запуском установщика одного ПО. Мне кому-то передавать адрес источника этого ПО?

Quarantine.7z отсутствует »
Это моя ошибка, не поправил шаблон. Карантин не должен был собраться, все верно.

Пролечите систему с помощью KVRT (https://support.kaspersky.ru/viruses/kvrt2015). Папку C:\KVRT\Report упакуйте в архив и прикрепите к следующему сообщению.

Нашло те файлы, которые я удалил в корзину и заархивировал.
Можете подсказать как отключить автозапуск со съемных дисков, а то галку "Использовать автозапуск для всех носителей и устройств" я снял, но в логе Аутологгера все еще красным выглядело предупреждение.
Есть шанс узнать, что этим троянам удалось сделать?
Спасибо.

как отключить автозапуск со съемных дисков »
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');
RebootWindows(false);
end.


Компьютер перезагрузится.


что этим троянам удалось сделать? »
Если волнуетесь о краже паролей, то этого не было. Впрочем, по правилам считается нормальным периодически важные пароли менять.

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt.

Простите, если что. После лечения KVRT и убедившись, что новых файлов найдено не было, я восстановил ОС с ранее созданного бекапа (и второй ноутбук тоже на всякий случай).

Благодарю за информацию о настройке и об отсутствии кражи паролей. Всего хорошего!