Решена Как удалить майнер с браузера Opera и Chrome?

[Сергей Д.]

Обнаружил дикую загрузку процессора и сумасшедше обращение к диску со стороны браузеров Opera и Chrome. Попытка установить антивирусы не увенчалась успехом - файлы не запускаются. Помогите пожалуйста! Лог от FRST64 прилагаю.

 

[thyrex]

Правила оформления запроса

 

[Сергей Д.]

Доброго дня! Выполнил сканирование. Лог прилагаю.

 

[akok]

Как давно майнера поймали? Подготовьте логи FRST с установленной галкой "файлы за 90 дней"

 

[Сергей Д.]

Судя по всему давненько, так как легкие повисания на звуки уже давненько проявились. А тут уже комп внаглую тупить начал. Вот свежие логи.

 

[akok]

Судя по логам система уже пролечена, остались хвосты.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\MountPoints2: {0af957b5-ce85-11eb-b0e2-f4b52024dc92} - "E:\SecureDrive.exe"
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\MountPoints2: {51cf838c-a38a-11ec-b101-f4b52024dc92} - "D:\SISetup.exe"
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\MountPoints2: {c4405764-4152-11ec-b0fc-f4b52024dc92} - "D:\AutoRun.exe"
HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\MountPoints2: {c4406718-4152-11ec-b0fc-f4b52024dc92} - "D:\AutoRun.exe"
Task: {E4A81118-FA11-4CA9-8678-75EBDDB20591} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe (Нет файла)
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

[Сергей Д.]

Да, прежде чем обратиться к Вам, я пытался устранить проблему самостоятельно.
Сегодня, после выполнения скрипта попытался установить Антивирус Касперского, но ресурс с установочными файлами по-прежнему не доступен.
Fixlog.txt прилагаю.

 

[Sandor]

Удалите вручную папку

C:\ProgramData\Kaspersky Lab Setup Files

и пробуйте установить.

 

[Сергей Д.]

Удалил папку. Установка от имени администратора безуспешна. При попытке скопировать установщик антивируса на флэшку проводник грузит систему и закрывается.

 

[Sandor]

Покажите скриншот ошибки, пожалуйста.

 

[Сергей Д.]

Скрин - текущее положение в Диспетчере задач
Скрин2 - ошибка Касперского

 

[Sandor]

На сайт www.kaspersky.ru заходите нормально?

 

[Сергей Д.]

Захожу нормально, даже купил лицензию и скачал инсталлятор. Только он запускается и выдаёт такую ошибку

 

[Sandor]

Картинки можно прямо в сообщение вставлять.

Удалите старые и соберите новые логи FRST.txt и Addition.txt, также отметив галочкой "90 дней".

 

[Сергей Д.]

Вот новые логи. Версия FRST64 от 22.04.2023 это критично? Или свежий нужен?

 

[Sandor]

Нет, это актуальная версия.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 NPAPI
AdwCleaner, версия 7.2.1
DriverPack

Далее:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-839293829-948684851-3384357002-1001\...\MountPoints2: {0af957b5-ce85-11eb-b0e2-f4b52024dc92} - "D:\SecureDrive.exe" 
  HKU\S-1-5-21-839293829-948684851-3384357002-500\...\MountPoints2: {0af957b5-ce85-11eb-b0e2-f4b52024dc92} - "D:\SecureDrive.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2023-04-25 10:38 - 2023-04-25 10:38 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
  2023-04-22 15:52 - 2023-04-22 15:52 - 000000919 _____ C:\Users\Администратор\Desktop\Установить Kaspersky Anti-Virus версии 21.3.10.391.lnk
  FirewallRules: [{24A167A7-8CE1-4FB4-9566-3C9F5FA3CD12}] => (Allow) LPort=5357
  FirewallRules: [{D2984088-4F47-4146-BF9A-D7E42DFB9497}] => (Allow) LPort=1688
  StartBatch:
    net stop bits
    net stop cryptSvc
    net stop wuauserv
    net stop msiserver
    netsh winsock reset catalog
    netsh int ipv4 reset reset.log
    netsh int ipv6 reset reset.log
    ipconfig /release
    ipconfig /renew
    ipconfig /flushdns
    ipconfig /registerdns
    net start bfe
    net start bits
    net start cryptSvc
    net start eventsystem
    net start msiserver
    net start rpcss
    net start sdrsvc
    net start trustedinstaller
    net start vss
    net start winmgmt
    net start wuauserv
    netsh winhttp reset proxy
    bitsadmin /list /allusers
    bitsadmin /reset /allusers
  EndBatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания.

Подробнее читайте в этом руководстве.

 

[Сергей Д.]

Систему пофиксил. Вот лог. Каспер всё равно не устанавливается. Пишет, что нет доступа к ресурсу.

 

[Sandor]

Попробуйте скачать установочный файл отсюда.

 

[Sandor]

Если не поможет, скачайте AV block remover
Измените системную дату на 10 дней назад - 15 апреля 23
Распакуйте архив, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки восстановите актуальную дату.

 

[Сергей Д.]

Отработал AVBR лог прилагаю.