Решена Как избавиться от вируса майнера tool.btcmine.2750?

[dagmen05]

Здравствуйте, такая ситуация. Вирус майнер tool.btcmine.2750 прячятся в процессе kernel.exe. Я через доктор веб сканировал и он удалился, но через день опять появился. Три раз так повторял и каждый раз заново появлялся. Как от этого избавиться навсегда? Есть какое-то решение?

 

[thyrex]

Правила оформления запроса о помощи

 

[dagmen05]

Правила оформления запроса о помощи

У меня на данный момент это вирус удален, но он скорее всего завтра опять появится. Мне файл(лог) после появления вирус надо прикрепить или сейчас можно?

 

[thyrex]

Сейчас

 

[dagmen05]

Сейчас

Прикрепил файл. И еще сегодня такой wevtutil.exe процесс появился который грузил процессор. При сканировании как вирус показался.

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\dllhost.exe');
 StopService('WindowsService');
 QuarantineFile('c:\windows\dllhost.exe', '');
 DeleteFile('c:\windows\dllhost.exe', '');
 DeleteFile('C:\Windows\dllhost.exe', '64');
 DeleteService('WindowsService');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\Check_Browser_Lnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


"Пофиксите" в HijackThis только следующие строки (некоторых может уже не быть):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O23 - Service R2: WindowsService - C:\Windows\dllhost.exe (not signed - no company - 5CC5FA87159C1F3D49FC262318E1D473DEEE1908)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[dagmen05]

Сделано. quarantine.7z отправил через форму на сайте.
Остальные файлы прикрепил тут.

 

[dagmen05]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\dllhost.exe');
 StopService('WindowsService');
 QuarantineFile('c:\windows\dllhost.exe', '');
 DeleteFile('c:\windows\dllhost.exe', '');
 DeleteFile('C:\Windows\dllhost.exe', '64');
 DeleteService('WindowsService');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Файл Check_Browser_Lnk.log
из папки
перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


"Пофиксите" в HijackThis только следующие строки (некоторых может уже не быть):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O23 - Service R2: WindowsService - C:\Windows\dllhost.exe (not signed - no company - 5CC5FA87159C1F3D49FC262318E1D473DEEE1908)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер вручную.

Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

Сделано. quarantine.7z отправил через форму на сайте.
Остальные файлы прикрепил тут.

 

[Sandor]

Цитировать полностью предыдущее сообщение не нужно. Пишите в нижнем поле быстрого ответа.

Судя по логам, стало значительно лучше. Но проверим ещё так:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[dagmen05]

Прикрепил

 

[Sandor]

Сделаем дополнительную очистку (в основном мусор):

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Edge StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
  CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKU\S-1-5-21-381345494-2681927361-3437082403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKU\S-1-5-21-381345494-2681927361-3437082403-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
  2024-09-01 22:09 - 2024-09-01 22:09 - 000000000 ____D C:\ProgramData\ReasonLabs
  FirewallRules: [{E0988A12-E4E7-4A65-BB33-9E472B6FEED1}] => (Allow) LPort=57209
  FirewallRules: [{845CBE6C-90E9-43B7-A1C2-60956D8AB24C}] => (Allow) LPort=57210
  FirewallRules: [{B7B8FC75-D8FF-47D5-B149-3CA282A05780}] => (Allow) LPort=57211
  FirewallRules: [{CE8DEEA0-5587-49E2-B0A3-AECB5A7D75E3}] => (Allow) LPort=57212
  FirewallRules: [{AECFDE2C-9D73-4784-A006-CF14FAB58EAE}] => (Allow) LPort=57213
  FirewallRules: [{5E0C8920-E822-4D52-B138-A7F738B63F3D}] => (Allow) LPort=57214
  FirewallRules: [{260583FC-68E7-4B85-9897-C3BDBD8FBD7A}] => (Allow) LPort=57215
  FirewallRules: [{58F4395A-4885-4126-9AC0-AEEAA8955AD4}] => (Allow) LPort=57216
  FirewallRules: [{6C201E34-3629-41F8-B0AE-21C585CCE3C2}] => (Allow) LPort=57217
  FirewallRules: [{5865FF1A-DADC-49E7-B094-E0C9651011C6}] => (Allow) LPort=57218
  FirewallRules: [{66F5ED45-8ACB-4DC4-8356-A90C11FF975D}] => (Allow) LPort=57209
  FirewallRules: [{D6F40E05-0549-4855-87E1-A76DD269C388}] => (Allow) LPort=57210
  FirewallRules: [{7704664D-D2BB-4E0A-8097-EE363944B5E6}] => (Allow) LPort=57211
  FirewallRules: [{B20C2819-2350-42C0-8AC2-F72DF5AB0764}] => (Allow) LPort=57212
  FirewallRules: [{D9F932CF-52A6-421B-A5A7-BCEC2ABABCBE}] => (Allow) LPort=57213
  FirewallRules: [{8E85231D-543F-4D13-B222-AE6F1C123FDF}] => (Allow) LPort=57214
  FirewallRules: [{B27C6A2B-DB80-4DA1-A080-F0F71BC7AE1B}] => (Allow) LPort=57215
  FirewallRules: [{2E1112AA-B35A-47AD-A87B-623CDD7BD725}] => (Allow) LPort=57216
  FirewallRules: [{E33CFEE1-FD81-45AC-8024-6E795CE0EB1C}] => (Allow) LPort=57217
  FirewallRules: [{E7098392-2C75-48C5-9DC1-C20FD6F4152E}] => (Allow) LPort=57218
  FirewallRules: [{7E97D7E7-8875-4B11-AADF-2D9A6B445B54}] => (Allow) LPort=23007
  FirewallRules: [{6A5A527A-C814-469E-B725-F9E205576516}] => (Allow) LPort=23008
  FirewallRules: [{EB8A952C-A184-4F0D-880F-0A9CA5D491DB}] => (Allow) LPort=33009
  FirewallRules: [{9D109362-5CD9-4D94-A24A-24BF0DCAE6CC}] => (Allow) LPort=33010
  FirewallRules: [{DCC1C68B-61F1-43F3-BFCD-C67CF75232DC}] => (Allow) LPort=33011
  FirewallRules: [{2620F0E1-3D2D-4CFE-AC69-60E78CE2384B}] => (Allow) LPort=43012
  FirewallRules: [{5A165924-BECA-42A0-B2EE-B27925E6B03B}] => (Allow) LPort=43013
  FirewallRules: [{1C719018-3B79-423D-819F-DF9CFADB7B76}] => (Allow) LPort=53014
  FirewallRules: [{C53ED641-8783-4167-8E39-6FAB055DF3D2}] => (Allow) LPort=53015
  FirewallRules: [{2CA88FD6-C401-49E6-B96D-2B7FA937DB0F}] => (Allow) LPort=53016
  FirewallRules: [{866134D2-0CCB-4A85-9716-8F61EAD8C895}] => (Allow) LPort=23007
  FirewallRules: [{5B536790-3E92-4C71-82FF-49879FF19475}] => (Allow) LPort=23008
  FirewallRules: [{008FA59D-539E-4CBD-A465-BFBC11CE35A0}] => (Allow) LPort=33009
  FirewallRules: [{1DD85021-947A-46C0-8F52-A7CFF5CC901B}] => (Allow) LPort=33010
  FirewallRules: [{D4FF49B7-58C0-48E6-9A70-D8603A3A2D0C}] => (Allow) LPort=33011
  FirewallRules: [{CC95C29F-9B4A-469E-8C6F-632F928A8F3B}] => (Allow) LPort=43012
  FirewallRules: [{D395C761-D0D1-4416-B412-B1FCAEEE2067}] => (Allow) LPort=43013
  FirewallRules: [{ABB6A316-1108-478D-A177-07C4E12CC114}] => (Allow) LPort=53014
  FirewallRules: [{E9EFC496-5665-46DA-926D-7B4BAE0C8946}] => (Allow) LPort=53015
  FirewallRules: [{2F5C3D87-2D06-4A99-983D-C829458F3678}] => (Allow) LPort=53016
  FirewallRules: [{A9291B64-23DC-40AA-8C87-2BC2ABB4CDE4}] => (Allow) LPort=50053
  FirewallRules: [{1BC4DDB0-A29B-4189-B20D-777C0E413A85}] => (Allow) LPort=50053
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[dagmen05]

Прикрепил

 

[Sandor]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
  Remove-MpPreference -ExclusionPath "C:\"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.


Сообщите решена ли проблема.

 

[dagmen05]

Сделано

 

[Sandor]

Хорошо.

Сообщите решена ли проблема.

 

[dagmen05]

Всё уже? Вирус заново не возобновится?

 

[Sandor]

Во многом это также зависит от вас.

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[dagmen05]

Прикрепил

 

[Sandor]

Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
µTorrent v.3.6.0.47132 Внимание! Клиент сети P2P с рекламным модулем!.
SRWare Iron (64-Bit), версия 120.0.6100.0 v.120.0.6100.0 Внимание! Скачать обновления
Opera Stable 112.0.5197.53 v.112.0.5197.53 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.24.7.2.1098 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.27 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
CCleaner Update Helper v.1.8.1651.5 << Скрыта Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Следуйте несложным Рекомендациям после удаления вредоносного ПО

 

[dagmen05]

Спасибо за помощь. Надеюсь вирус не вернется. Удачи Вам.