Решена Как избавиться от Trojan:Win32/CoinMiner на виндовс

[Eugene85]

Здравствуйте.

Защитник виндовс при запуске копмпа начал выдавать следующее:

• Trojan:Win32/CoinMiner, затронутые файлы file: file: C:\ProgramData\WindowsTask\MicrosoftHost.exe;
• Trojan:Win32/Wacatac.H!ml, затронутые файлы file: file: file: C:\ProgramData\WindowsTask\audiodg.exe.

При детальном поиске были обнаружены скрытыми папки многих антивирусов в Programs Files, Program Files (x86), ProgramData.

Было выполнено следующее:

• Unlokerо-ом были удалены все папки антивирусов (в них не было доступа); - после удаления папки больше не появлялись, но защитник после запуска компа находил выше указанные вредоносные файлы (переименование папки WindowsTask не помогло).
• В безопасном режиме был запущен AV_b_r.exe;
• В обычном режиме запущен AutoLogger.

Прикрепляю файлы логов.

Подскажите пожалуйста дальнейшие действия.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Eugene85]

Сделал все по инструкции.

 

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [LchDrvKey] => LchDrvKey.exe (Нет файла)
Task: {98AD383F-3B42-4DE4-9536-DB2E8B6F89F6} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Users\Eugene\AppData\Roaming\Google\Chrome\updater.exe  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3892426804-1987099110-1682869968-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3892426804-1987099110-1682869968-500\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 Stereo Service; "C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe" [X]
C:\Users\Eugene\AppData\Roaming\Google\Libs\WR64.sys
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{7572B9AB-E9E6-4C19-AD74-6D59904FBE5A}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe => Нет файла
FirewallRules: [{72C1E21A-4E0B-4495-A964-877987CF831D}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\UbisoftGameLauncher.exe => Нет файла
FirewallRules: [TCP Query User{E5DF56BF-653E-4D77-B578-C67220C1D393}E:\assassin's creed brotherhood\acbsp.exe] => (Allow) E:\assassin's creed brotherhood\acbsp.exe => Нет файла
FirewallRules: [UDP Query User{7E031236-6654-4994-A96E-79079B362CBC}E:\assassin's creed brotherhood\acbsp.exe] => (Allow) E:\assassin's creed brotherhood\acbsp.exe => Нет файла
FirewallRules: [{AC53A36E-A72A-4535-A6A3-2B22820AEECC}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{30E76AA1-FCC8-4E65-81CA-7ACB58119010}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{07F7AFF3-DBCE-4CEF-956F-786668A6CFFE}] => (Block) LPort=445
FirewallRules: [{743483C0-40FC-4C2D-BA74-9AE7BC56DAAA}] => (Block) LPort=445
FirewallRules: [{E3E9482D-45F3-4F0B-BFB3-9B7DE102C9CE}] => (Block) LPort=139
FirewallRules: [{47E2260E-8D58-4581-B217-DBA88BAFC610}] => (Block) LPort=139
FirewallRules: [{A7F9F4B1-F5C9-4FD7-8C64-E645D3666474}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{ABFA9246-66BB-4F40-8425-DA31F75A3931}] => (Allow) LPort=3389
FirewallRules: [{63791503-EAB4-4F83-A1A3-6499D859E886}] => (Allow) E:\DIRT2\dirt2_game.exe => Нет файла
FirewallRules: [{0777F911-A4BF-4550-94BD-085FEFEB5E20}] => (Allow) E:\DIRT2\dirt2_game.exe => Нет файла
FirewallRules: [{723820CA-1CC0-4230-9692-6670EBE935F3}] => (Allow) E:\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{F1C67702-8842-44AA-81D3-C0DEB64D1647}] => (Allow) E:\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{DF98EC7B-78B6-4212-9D2A-36CEC230448D}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{BE038FFB-85B9-41E6-B3DD-0DFBB0E780A3}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Eugene85]

Выполнил

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Eugene85]

Выполнил

 

[Eugene85]

Выполнил через права администратора (первый запуск был просто двойным щелчком).

 

[Sandor]

@Eugene85, удалите, пожалуйста, эту версию программы, скачайте заново и соберите ещё раз новый её отчёт.

 

[Eugene85]

Готово.

 

[Sandor]

Извините, но скачайте ещё раз программу, причём, желательно другим браузером и прикрепите новый отчёт.

 

[Eugene85]

Выполнил.
Скачал Microsoft Edge.

 

[Sandor]

Да, теперь верно, последняя версия, спасибо.

Исправьте по возможности:
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

NVIDIA GeForce Experience 2.11.4.125 v.2.11.4.125 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Внимание! Скачать обновления
Python 2.6.1 v.2.6.1150 Внимание! Скачать обновления
Total Commander Ultima Prime 5.7.0.0 v.5.7.0.0 Внимание! Скачать обновления
FastStone Image Viewer 7.7 v.7.7 Внимание! Скачать обновления
Telegram Desktop v.5.1.7 Внимание! Скачать обновления
AIMP v.5.11.2429 Внимание! Скачать обновления
K-Lite Codec Pack 17.5.5 Full v.17.5.5 Внимание! Скачать обновления
Opera Stable 111.0.5168.55 v.111.0.5168.55 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^


Читайте Рекомендации после удаления вредоносного ПО

 

[Eugene85]

Выполнил все.

NVIDIA GeForce Experience не установилась, пишет не позволяет характеристики оборудования. У меня старая видео, но я скачал на неё последние дрова и установил.
Total Commander Ultima Prime - не стал обновлять, мне нравиться эта версия программы.
Контроль учётных записей - включил.
Opera - пришлось удалить и снова установить. Через меню не искала обновления. Удалял Uninstall Tool принудительно, т.к. при нажатии на деинсталяцию просто запускался браузер.
Telegram Desktop - обновил, но я его не могу запустить. Это уже где-то с полгода. Как только сканирую QR код входит, и сразу выходит в приветственное меню и заново сканирую код. Если через смс код, то он не приходит.

Какие дальше рекомендации.

 

[Sandor]

Будьте здоровы (и бдительны).

 

[Eugene85]

Благодарю за помощь))).