Решена Не отслеживаемый майнер

[name1essss]

Здравствуйте! Столкнулся с проблемой вируса майнера, который никак не выходит удалить. DR WEB CUREIT нашел трояны и майнеры и якобы их удалил, но на деле ничего не изменилось. Пробовал AVBR - тот ничего не нашел (пару месяцев назад помог мне удалить джона). Вирус через некоторое время после запуска диспетчера задач перестает нагружать систему, но потом снова жрет ресурсы и нагревает ноут. Malware Bytes также постоянно присылает уведомление, что "блокирует" трафик с сайта криптовалют

 

[akok]

DR WEB CUREIT

они не знают еще вредоноса, нужно было avptool проверить

VirusTotal

VirusTotal

www.virustotal.com

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 SetServiceStart('AudioStrm', 4);
 QuarantineFile('C:\Windows\system32\AudioStrm.exe','');
 QuarantineFile('c:\windows\system32\audiostrm.exe','');
 DeleteFile('c:\windows\system32\audiostrm.exe','32');
 DeleteFile('C:\Windows\system32\AudioStrm.exe','64');
  DeleteService('AudioStrm');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations] = C:\Temp\iu-14D2N.tmp -> DELETE (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\mobsync.exe: [Debugger] = C:\Windows\system32\systray.exe (sign: 'Microsoft')

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[name1essss]

Сделал все шаги

 

[name1essss]

хочу добавить, что после проделанных операций компьютер перестал греться и шуметь

 

[Sandor]

Сделаем ещё небольшую уборку.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {4BB4E2AC-354D-4D95-839D-B24135D525ED} - System32\Tasks\Temp => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-04-09] (Microsoft Windows -> Microsoft Corporation) -> get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[name1essss]

Прикрепляю

 

[Sandor]

Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[name1essss]

Лог

 

[Sandor]

Исправьте по возможности:

Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Discord v.1.0.9058 Внимание! Скачать обновления

Читайте Рекомендации после удаления вредоносного ПО

 

[name1essss]

Благодарю!