Решена Чистка хвостов майнера

[Barmaleykin]

Здравствуйте.
Словил майнер, перестали открываться сайты антивирусов. Смог почистить Hosts и скачать AVBr, которая удалила учетку John. После этого просканировал KVRT, который ругался на троян в системной памяти. После лечения и перезагрузки просканировал повторно KVRT и DrWEB Cureit в придачу, пусто. Прошелся ADWCleaner. Прикрепил логи AVBr ранее и текущие, FRST.
Система не подает признаков аномалий, но для перестраховки прошу помочь найти возможные хвосты майнера.

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-2188501684-2890699096-2243972505-1001\...\MountPoints2: {672b8907-38c7-11eb-b089-9cfce88429b5} - "F:\setup.exe" 
HKU\S-1-5-21-2188501684-2890699096-2243972505-1001\...\MountPoints2: {672b8990-38c7-11eb-b089-9cfce88429b5} - "F:\Autoplay.exe" -auto
Task: {1D4DB1EB-E08E-4AF5-9D2D-BB4FE7B43D45} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {7D99592B-8063-46FC-AAE3-CA6C26428C44} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {B7079566-CB73-4444-8A27-740848F5CC1F} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {C4D79638-D734-4581-B801-82329FDB83E1} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
AlternateDataStreams: C:\Users\barma\AppData\Local\Temp:$DATA [16]
FirewallRules: [{8BBFE0DD-6436-48DE-B6D1-E448EF5D9B0B}] => (Allow) C:\Users\barma\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{7C7BD013-49C6-4784-A34F-B40F3B511FC4}] => (Allow) C:\Users\barma\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{AD592BF4-4917-4572-ACC6-4886410724EF}D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11_dx12.exe] => (Allow) D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11_dx12.exe => Нет файла
FirewallRules: [UDP Query User{8BD5A28D-8F45-466F-8A28-8A7FCD0BE1D3}D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11_dx12.exe] => (Allow) D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11_dx12.exe => Нет файла
FirewallRules: [TCP Query User{9AB1FB45-6E68-4DED-A16A-5B91F550B8D2}D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [UDP Query User{0820ECD8-AB8A-48D5-90E1-9B4CB7ECE7FB}D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:4\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [TCP Query User{2196235D-CCF8-451E-80C5-27904C37436F}Z:\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) Z:\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [UDP Query User{6CAF8B06-1958-4BB5-BC69-63D8205C6190}Z:\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) Z:\downloads\mortal.kombat.11.premium.edition.steamrip-insaneramzes\mortal kombat 11\binaries\retail\mk11.exe => Нет файла
FirewallRules: [TCP Query User{14EEEC0A-9CDA-42CA-B83B-7E775CF58824}C:\program files (x86)\steam\steamapps\common\fallout 4\fallout4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\fallout 4\fallout4.exe => Нет файла
FirewallRules: [UDP Query User{9A9EE8CD-C413-4F83-A208-3BE0C83D1097}C:\program files (x86)\steam\steamapps\common\fallout 4\fallout4.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\fallout 4\fallout4.exe => Нет файла
FirewallRules: [{678BF39E-EBBA-45B6-B801-A534CC1D4344}] => (Allow) V:\win\MSetup64.exe => Нет файла
FirewallRules: [{3B098ADD-D729-4938-9053-312C7A3370F2}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\The Witcher 3\bin\x64\witcher3.exe => Нет файла
FirewallRules: [{DB330BBD-2EDB-40AD-9866-94C53603EF5D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\The Witcher 3\bin\x64\witcher3.exe => Нет файла
FirewallRules: [TCP Query User{EFEB83A9-8679-48DD-B95E-31974F344F2D}H:\games\train simulator 2017 pioneers edition\railworks.exe] => (Block) H:\games\train simulator 2017 pioneers edition\railworks.exe => Нет файла
FirewallRules: [UDP Query User{D02A40FA-6582-43F7-AF87-E86B4066014F}H:\games\train simulator 2017 pioneers edition\railworks.exe] => (Block) H:\games\train simulator 2017 pioneers edition\railworks.exe => Нет файла
FirewallRules: [TCP Query User{77798540-8750-4434-9358-1114F7C59503}G:\games\trainz a new era\tane.exe] => (Allow) G:\games\trainz a new era\tane.exe => Нет файла
FirewallRules: [UDP Query User{BBD152C5-0774-4D75-BB18-B89968F9AC96}G:\games\trainz a new era\tane.exe] => (Allow) G:\games\trainz a new era\tane.exe => Нет файла
FirewallRules: [TCP Query User{997F0B6D-703B-4C11-AF93-D90AED3CE384}G:\games\crysis 2 - maximum edition\bin32\crysis2.exe] => (Block) G:\games\crysis 2 - maximum edition\bin32\crysis2.exe => Нет файла
FirewallRules: [UDP Query User{AB0E2E0C-63E5-4530-924C-3174A5E3B67E}G:\games\crysis 2 - maximum edition\bin32\crysis2.exe] => (Block) G:\games\crysis 2 - maximum edition\bin32\crysis2.exe => Нет файла
FirewallRules: [TCP Query User{7BD7329A-5BEA-4091-B69E-DF52E7B2C9A5}G:\games\grand theft auto v\gta5.exe] => (Allow) G:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{3AC73FB3-0E80-4A97-B6B4-D8AE39955CC7}G:\games\grand theft auto v\gta5.exe] => (Allow) G:\games\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [{37DA46B9-7814-42E1-982E-F106D1AC8ECE}] => (Allow) Z:\SteamLibrary\steamapps\common\Destiny 2\destiny2.exe => Нет файла
FirewallRules: [{22425325-8B9E-42C8-A4A8-39268BA6655D}] => (Allow) Z:\SteamLibrary\steamapps\common\Destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{61520F1B-F84B-48EF-A1E1-58D4ECF148EE}H:\gog games\rage of mages ii\allods2.exe] => (Allow) H:\gog games\rage of mages ii\allods2.exe => Нет файла
FirewallRules: [UDP Query User{8EC79A99-8F4A-4FD2-8CE6-BAAEF6875E3B}H:\gog games\rage of mages ii\allods2.exe] => (Allow) H:\gog games\rage of mages ii\allods2.exe => Нет файла
FirewallRules: [{82887459-83D9-4D8D-B3A1-037DD241E37E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\KingdomComeDeliverance\Bin\Win64\KingdomCome.exe => Нет файла
FirewallRules: [{286220C1-98B2-4DEB-942E-C2FFD1B0B0A7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\KingdomComeDeliverance\Bin\Win64\KingdomCome.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Barmaleykin]

Выполнил

 

[Sandor]

@Barmaleykin, проблема решена?