Помогите вычислить гниду, изменяющую реестр

Дайнло · 04.07.2022, 12:32

Доброго времени суток.
С некоторого времени при запуске компа автоматом открывается браузер с каким-то левым сайтом, который яндекс браузер блокирует сразу как опасный.
Выяснил что такая подлость скрывается в реестре, удалил мерзкую строку оттуда. Гордился. Через пару перезагрузок строчка вернулась в реестр. Удалил. Она вернулась на место. Я озверел и на фоне этого разобрался с аудитом реестра...и спалил изменения в реестре.

Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.07.2022 12:30:52
Код события: 4657
Категория задачи:Registry
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Daiynlo-sistemnik
Описание:
Изменено значение реестра.

Субъект:
ИД безопасности: DAIYNLO-SISTEMN\Win10_Game_OS
Имя учетной записи: Win10_Game_OS
Домен учетной записи: DAIYNLO-SISTEMN
Код входа: 0x2E694

Объект:
Имя объекта: \REGISTRY\USER\S-1-5-21-2162257564-2228249553-3630286477-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения объекта: Win10_Game_OS
Код дескриптора: 0x8c
Тип операции: Создано новое значение реестра

Сведения о процессе:
Идентификатор процесса: 0x13ec
Имя процесса: C:\Windows\System32\reg.exe

Сведения об изменении:
Тип старого значения: -
Старое значение: -
Тип нового значения: REG_SZ
Новое значение: cmd.exe /c start ww(никаких ссылок новичкам)klafbzor.org

Новое значение как раз и открывает этот подлый сайт...но вот какая гнида производит изменения в реестре я так и не понял...

Vvvyg · 04.07.2022, 18:32

Ждём образ UVS по правилам.

Подсказка: есть задача в шедулере, обычно с именем пользователя, которая восстанавливает автозагрузку.

Дайнло · 05.07.2022, 06:57

Вроде сделал...

* ушел гуглить что такое шедулер..

Дайнло · 05.07.2022, 07:46

в планировщике задач нашел такое задание. удалил... но все равно не понял кто это делал..в имени везде стоит либо наименование операционной системы либо учетной записи...

Vvvyg · 05.07.2022, 08:59

Хвосты от майнера в системе.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
;---------command-block---------
delref HTTP://WWW.DINOKLAFBZOR.ORG/
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
deltsk WWW.DINOKLAFBZOR.ORG
delref %SystemDrive%\USERS\WIN10_GAME_OS\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\INSTALLER\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WSC_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

04.07.2022, 12:32	#1 (permalink)
Дайнло Новичок Регистрация: 04.07.2022 Сообщений: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	Помогите вычислить гниду, изменяющую реестр Доброго времени суток. С некоторого времени при запуске компа автоматом открывается браузер с каким-то левым сайтом, который яндекс браузер блокирует сразу как опасный. Выяснил что такая подлость скрывается в реестре, удалил мерзкую строку оттуда. Гордился. Через пару перезагрузок строчка вернулась в реестр. Удалил. Она вернулась на место. Я озверел и на фоне этого разобрался с аудитом реестра...и спалил изменения в реестре. Имя журнала: Security Источник: Microsoft-Windows-Security-Auditing Дата: 04.07.2022 12:30:52 Код события: 4657 Категория задачи:Registry Уровень: Сведения Ключевые слова:Аудит успеха Пользователь: Н/Д Компьютер: Daiynlo-sistemnik Описание: Изменено значение реестра. Субъект: ИД безопасности: DAIYNLO-SISTEMN\Win10_Game_OS Имя учетной записи: Win10_Game_OS Домен учетной записи: DAIYNLO-SISTEMN Код входа: 0x2E694 Объект: Имя объекта: \REGISTRY\USER\S-1-5-21-2162257564-2228249553-3630286477-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Имя значения объекта: Win10_Game_OS Код дескриптора: 0x8c Тип операции: Создано новое значение реестра Сведения о процессе: Идентификатор процесса: 0x13ec Имя процесса: C:\Windows\System32\reg.exe Сведения об изменении: Тип старого значения: - Старое значение: - Тип нового значения: REG_SZ Новое значение: cmd.exe /c start ww(никаких ссылок новичкам)klafbzor.org Новое значение как раз и открывает этот подлый сайт...но вот какая гнида производит изменения в реестре я так и не понял...

05.07.2022, 08:59	#5 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,802 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9424	Хвосты от майнера в системе. Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): Код: ;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c deltmp ;---------command-block--------- delref HTTP://WWW.DINOKLAFBZOR.ORG/ delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE deltsk WWW.DINOKLAFBZOR.ORG delref %SystemDrive%\USERS\WIN10_GAME_OS\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\BHO\IE_TO_EDGE_BHO.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\INSTALLER\SETUP.EXE delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\WSC_PROXY.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\NOTIFICATION_HELPER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL apply restart Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена. Компьютер перезагрузится. Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

04.07.2022, 18:32	#2 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,802 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9424	Ждём образ UVS по правилам. Подсказка: есть задача в шедулере, обычно с именем пользователя, которая восстанавливает автозагрузку.

05.07.2022, 07:46	#4 (permalink)
Дайнло Новичок Регистрация: 04.07.2022 Сообщений: 5 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 10	в планировщике задач нашел такое задание. удалил... но все равно не понял кто это делал..в имени везде стоит либо наименование операционной системы либо учетной записи...

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070