Решена Майнер_Tool.BtcMine.2711

[evgeniy_39]

Добрый день.
ПК стал тормозить, после проверки двумя антивирусами (касперский и drweb) в безопасном режиме обнаружил майнер (Tool.BtcMine.2711). Запустил скрипт AV block remover (лог прикладываю), после проверки системы скрипт удалил пользователя John и создал файл hosts. Так же проверил систему программой Farbar Recovery Scan Tool (лог прикладываю).
Прошу проанализировать полученные логи, возможно нужно еще какие-то действия выполнить.
Заранее, большое спасибо за помощь!

 

[Sandor]

Здравствуйте!

Для порядка соберите, пожалуйста, отчёты Автологером по правилам раздела:
Правила оформления запроса о помощи

 

[evgeniy_39]

Отправляю логи

 

[Sandor]

Не то, нужен архив с именем CollectionLog-дата-время.zip

 

[evgeniy_39]

Да, не то прикрепил.

 

[Sandor]

Спасибо! Тут порядок, почистим кое-какой мусор.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Winlogon: [Userinit]  <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  2023-07-21 09:23 - 2023-07-21 09:23 - 000000000 __SHD C:\ProgramData\princeton-produce
  AV: Kaspersky Endpoint Security для Windows (Disabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
  AS: Kaspersky Endpoint Security для Windows (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
  FW: Kaspersky Endpoint Security для Windows (Disabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [100]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[evgeniy_39]

Спасибо, за помощь. Все сделал согласно Ваших рекомендаций. ПК снова вернулся к нормальной жизни.

 

[Sandor]

Отлично! Еще один небольшой скрипт выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[evgeniy_39]

Отлично! Еще один небольшой скрипт выполните в безопасном режиме:

• Выделите следующий код:
  

  Start::
  DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

[Sandor]

Хорошо, в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[evgeniy_39]

Хорошо, в завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Sandor]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 7.3.6.321 v.v 7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.27.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 ru) v.91.9.1 Внимание! Скачать обновления

Конкретно этот майнер попадает в систему при установке некоего репака или активатора, скачанного с торрента.

Читайте Рекомендации после удаления вредоносного ПО

 

[evgeniy_39]

Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader 7.3.6.321 v.v 7.3.6.321 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.27.3 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird (x64 ru) v.91.9.1 Внимание! Скачать обновления

Конкретно этот майнер попадает в систему при установке некоего репака или активатора, скачанного с торрента.

Читайте Рекомендации после удаления вредоносного ПО

Спасибо за помощь.