[решено] Изменения низких настроек системы без личного совершения

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Изменения низких настроек системы без личного совершения

Здравствуйте. Устанавливал скачанную игру, есть подозрения на вирусы.
Симптоматика:
1. ОС запустилась в Безопасный режим с холодного старта (грешил на обновления драйвера тачпада). После загрузки сразу выплыло окно "Завершение ОС менее чем через минуту. Приготовьтесь".
2. Индикатор ЮСБ флешки регулярно помигивает как в этом, так и в другом ноутбуке. Автозапуск был включен на обоих (моя вина). Один раз безопасное извлечение указало ошибку о незавершенных процессах с ней, после этого отключало успешно.
3. При попытке открыть Диспетчер Задач появилось окно-ошибка об отключении этой функции Администратором. Исправилось удалением соответствующего ключа реестра.

Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему?

Цитата:

Цитата JamesD

Логи прикрепляю. Вопрос: логи 2-го ноутбука в эту же Тему? »

Один компьютер, одна тема. Чтоб не путаться.

C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли?

Цитата:

Цитата akok

C:\Users\James D\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cleantemp.bat - сами добавляли? »

Да, вручную, чтобы очищалась папка временных файлов.
Спасибо, что откликнулись.

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Цитата:

Unchecky v0.2.16

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RebootWindows(false);

end.

Компьютер перезагрузится.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите свежий CollectionLog.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Значитс так...

1. Quarantine.7z отсутствует. Однако я нашел визуально-подозрительные файлы "троянов" (как говорит virustotal) в папке Windows. Их собрал в архив Quarantine.7z c паролем (вроде бы поставил) malware. Надеюсь, что так правильно было. 2019.12.11_Quarantine_56e76e81e9c618d8a367b48a1c6ea403.7z , Обновленный файл карантина с еще одним объектом - 2019.12.11_Quarantine_b821d63c229ab4bcfc8df4b59d7c77ef.7z
Можно в итоге получить информацию - это опасные файлы или лжеположительные?
Интересно, как так получилось? (Вирус заблокировал создания файла Quarantine.7z или комплект Autologger умудрился не задектектить вирусы в папке Windows, или он не задетектил потому что это на самом деле не вирусы?)
2. При загрузке 3-х файлов получил ошибку с FRST.txt: Ваш файл объемом 253.4 Kb превышает предел в 97.7 Kb, установленный на форуме для этого типа файлов.
Добавил его в архив 7z.

Даты создания файлов-троянов совпадают с запуском установщика одного ПО. Мне кому-то передавать адрес источника этого ПО?

Цитата:

Цитата JamesD

Quarantine.7z отсутствует »

Это моя ошибка, не поправил шаблон. Карантин не должен был собраться, все верно.

Пролечите систему с помощью KVRT. Папку C:\KVRT\Report упакуйте в архив и прикрепите к следующему сообщению.

Нашло те файлы, которые я удалил в корзину и заархивировал.
Можете подсказать как отключить автозапуск со съемных дисков, а то галку "Использовать автозапуск для всех носителей и устройств" я снял, но в логе Аутологгера все еще красным выглядело предупреждение.
Есть шанс узнать, что этим троянам удалось сделать?
Спасибо.

Цитата:

Цитата JamesD

как отключить автозапуск со съемных дисков »

Код:

begin

 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'NoDriveTypeAutoRun', '221');

RebootWindows(false);

end.

Компьютер перезагрузится.

Цитата:

Цитата JamesD

что этим троянам удалось сделать? »

Если волнуетесь о краже паролей, то этого не было. Впрочем, по правилам считается нормальным периодически важные пароли менять.

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt.

Простите, если что. После лечения KVRT и убедившись, что новых файлов найдено не было, я восстановил ОС с ранее созданного бекапа (и второй ноутбук тоже на всякий случай).

Благодарю за информацию о настройке и об отсутствии кражи паролей. Всего хорошего!