Google Chrome сообщил что обнаружен Backdoor в системе

@EvgenHost · Регистрация: 02.03.2021

Author24 — интернет-сервис помощи студентам

Сообщение от браузера появилось после того, как я установил текстовый редактор Emeditor. Я загрузил его на Virustotal и действительно, показало что есть Backdoor https://www.virustotal.com/gui... /detection (возможно ложное срабатывание конечно, но тем не менее браузер об этом уведомил)
Начал пытаться искать его при помощи SpyHunter5, нашел немного дряни которую я удалил. Но он показывает Trojan.FakeMS по пути C:\Windows\Fonts\Mysql, которого я там обнаружить не могу со всеми включенными скрытыми папками и файлами (по мере удаления файлов проверял 3 раза и 3 раза этот Троян отображается в SpyHanter).
Затем скачал AVZ версия 5.16, при обновлении базы пишет что нужно обновиться до версии 5.45, но такой нет.
Удалил ещё с реестра запись HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\John

Подскажите пожалуйста, как выяснить действительно ли Backdoor на ноуте?

@Sandor · 02.03.2021, 10:56

Здравствуйте!

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@EvgenHost · 02.03.2021, 11:15 **[ТС]**

Прошу прощение, моя невнимательность ((

@Sandor · 02.03.2021, 11:25

Внимание! Рекомендации написаны специально для пользователя EvgenHost. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.
Подготовьте и прикрепите лог сканирования AdwCleaner.

@EvgenHost · 02.03.2021, 13:01 **[ТС]**

Скрипт выполнил, логи подготовил

@Sandor · 02.03.2021, 14:38

Предустановленное ПО не отмечайте, остальное чистим:
1.

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@EvgenHost · 02.03.2021, 17:00 **[ТС]**

Готово

@Sandor · 02.03.2021, 17:05

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {704A661C-1974-40B9-8410-92B24ADC567D} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Пользователь в вашей системе

john

вам известен?

@EvgenHost · 02.03.2021, 17:18 **[ТС]**

Пользователь john мне не известен

@Sandor · 02.03.2021, 17:32

Еще такой скрипт выполните

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CMD: net user john /delete
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Что с проблемой?

@EvgenHost · 02.03.2021, 17:36 **[ТС]**

Так я вот и не знаю что с проблемой, как бы узнать, есть ли этот Бэкдор в системе?

@Sandor · 02.03.2021, 17:43

Прошу прощения, поправил скрипт. Выполните его ещё раз.

@EvgenHost · 02.03.2021, 17:46 **[ТС]**

Готово

@EvgenHost · 02.03.2021, 19:24 **[ТС]**

Собрал AVZ ещё такую информацию, может и не нужна вовсе

@Sandor · 02.03.2021, 20:29

В Автологере более поздняя версия AVZ и логи лучше собирать с его помощью.

Посмотрим ещё такой лог:
Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

@EvgenHost · 02.03.2021, 21:36 **[ТС]**

При попытке установить по пути "по-умолчанию", т.е. в Program Files , пишет не верный путь.
При попытке установить в Program Files (x86) , либо в корневую диска С, после трех перезагрузок появляется окно "Произошла ошибка при которой не удалось установить Malwarebytes".

@Sandor · 03.03.2021, 09:09

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.

После перезагрузки системы соберите новый CollectionLog Автологером.

@EvgenHost · 03.03.2021, 09:27 **[ТС]**

Сделал

@Sandor · 03.03.2021, 09:38

Пофиксите в HijackThis следующие строчки:

Код

O7 - TroubleShooting: (EV) HKCU\..\Environment: [PATHEXT] = %PATHEXT%;.RB;.RBW

Пробуйте установить Malwarebytes.

@EvgenHost · 03.03.2021, 09:53 **[ТС]**

Строчку пофиксил.
Установил Malwarebytes и запустил проверку:

@EvgenHost 0 / 0 / 0 Регистрация: 02.03.2021 Сообщений: 21
		1
	Google Chrome сообщил что обнаружен Backdoor в системе 02.03.2021, 08:56. Показов 2441. Ответов 29 Метки нет (Все метки) Сообщение от браузера появилось после того, как я установил текстовый редактор Emeditor. Я загрузил его на Virustotal и действительно, показало что есть Backdoor https://www.virustotal.com/gui... /detection (возможно ложное срабатывание конечно, но тем не менее браузер об этом уведомил) Начал пытаться искать его при помощи SpyHunter5, нашел немного дряни которую я удалил. Но он показывает Trojan.FakeMS по пути C:\Windows\Fonts\Mysql, которого я там обнаружить не могу со всеми включенными скрытыми папками и файлами (по мере удаления файлов проверял 3 раза и 3 раза этот Троян отображается в SpyHanter). Затем скачал AVZ версия 5.16, при обновлении базы пишет что нужно обновиться до версии 5.45, но такой нет. Удалил ещё с реестра запись HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList\John Подскажите пожалуйста, как выяснить действительно ли Backdoor на ноуте? 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 10:56	2
	Здравствуйте! Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 11:25	4
	Внимание! Рекомендации написаны специально для пользователя EvgenHost. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteRepair(20); RebootWindows(false); end. Компьютер перезагрузится. Подготовьте новый CollectionLog. Подготовьте и прикрепите лог сканирования AdwCleaner. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 14:38	6
	Предустановленное ПО не отмечайте, остальное чистим: 1. Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Запустить проверку. По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления нужна перезагрузка компьютера!!! 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 17:05	8
	Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CreateRestorePoint: GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {704A661C-1974-40B9-8410-92B24ADC567D} - \Microsoft\Windows\Wininet\SystemC -> Нет файла <==== ВНИМАНИЕ ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Пользователь в вашей системе john вам известен? 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 17:32	10
	Еще такой скрипт выполните Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: SystemRestore: On CMD: net user john /delete End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Что с проблемой? 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 17:43	12
	Прошу прощения, поправил скрипт. Выполните его ещё раз. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	02.03.2021, 20:29	15
	В Автологере более поздняя версия AVZ и логи лучше собирать с его помощью. Посмотрим ещё такой лог: Скачайте Malwarebytes v.4. Установите и запустите. (На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию"). Запустите Проверку и дождитесь её окончания. Самостоятельно ничего не помещайте в карантин!!! Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan". Отчёт прикрепите к сообщению. Подробнее читайте в руководстве. 0

@EvgenHost 0 / 0 / 0 Регистрация: 02.03.2021 Сообщений: 21
	02.03.2021, 21:36 [ТС]	16
	При попытке установить по пути "по-умолчанию", т.е. в Program Files , пишет не верный путь. При попытке установить в Program Files (x86) , либо в корневую диска С, после трех перезагрузок появляется окно "Произошла ошибка при которой не удалось установить Malwarebytes". 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	03.03.2021, 09:09	17
	Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. После перезагрузки системы соберите новый CollectionLog Автологером. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	03.03.2021, 09:38	19
	Пофиксите в HijackThis следующие строчки: Код O7 - TroubleShooting: (EV) HKCU\..\Environment: [PATHEXT] = %PATHEXT%;.RB;.RBW Пробуйте установить Malwarebytes. 0