Решена Нужен скрипт для удаления вредоносного ПО

[ErikSanders]

В общем всё как у всех. Грузит видеокарту, закрывает диспетчер задач, создал нового пользователя. Прикрепляю все доступные логи, прошу создать скрипт для удаление этой нечисти. Спасибо!

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 ClearHostsFile;
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


После готовьте свежий комплект логов FRST

 

[ErikSanders]

Спасибо за быстрый ответ. Файл отправил на почту. Жду дальнейших указаний. Что скажете по логам, майнер удалился?
Upd - карта больше не нагружена, диспетчер работает исправно, gpedit.msc открывается. Но как вижу по логам - пользователь John остался, как его убрать?

 

[akok]

Не все так быстро. Удалять будем по кускам.

 

[akok]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST
Hosts:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S3 TermService; C:\WINDOWS\System32\svchost.exe [79920 2022-05-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2023-04-14 14:36 - 2023-04-24 15:56 - 000000000 __SHD C:\FRST
2023-04-14 14:36 - 2023-04-24 14:47 - 000000000 __SHD C:\AdwCleaner
2023-04-14 14:36 - 2023-04-24 14:47 - 000000000 ____D C:\Program Files (x86)\IObit
2023-04-14 14:36 - 2023-04-24 14:00 - 000000000 ____D C:\KVRT2020_Data
2023-04-14 14:36 - 2023-04-24 02:29 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\WavePad
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\RobotDemo
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\Norton
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\McAfee
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\MB3Install
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\grizzly
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\FingerPrint
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\Evernote
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\ESET
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\Doctor Web
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\BookManager
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\AVAST Software
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\360safe
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\SpyHunter
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Ravantivirus
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Rainmeter
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Process Lasso
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\ESET
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Enigma Software Group
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\DrWeb
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\COMODO
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Cezurity
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\ByteFence
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\AVG
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\AVAST Software
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files\7-Zip
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\Transmission
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\AVG
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 __SHD C:\Program Files (x86)\360
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 ____D C:\WINDOWS\speechstracing
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 ____D C:\Users\Yann\AppData\Roaming\RMS_settings
2023-04-14 14:36 - 2023-04-14 14:36 - 000000000 ____D C:\ProgramData\Avira
2023-04-14 14:35 - 2023-04-24 15:43 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-04-14 14:35 - 2023-04-24 15:43 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-04-14 14:35 - 2023-04-24 03:17 - 000000000 __SHD C:\ProgramData\Setup
2023-04-14 14:35 - 2023-04-14 14:36 - 000000000 __SHD C:\ProgramData\Install
2023-04-14 14:35 - 2023-04-14 14:35 - 000000000 __SHD C:\ProgramData\RunDLL
2023-04-14 14:35 - 2023-04-14 14:35 - 000000000 ___HD C:\Users\John
2023-04-14 14:35 - 2023-04-14 14:35 - 000000000 ____D C:\ProgramData\System32
John (S-1-5-21-569751057-1264309999-1565599509-1003 - Administrator - Enabled)
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{5585D6AC-78DA-4E53-95F3-E168F4934A43}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{DF2DCA4F-A2C0-4B4F-A877-4E9FBDD5C5BB}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{9831EC67-DC2E-4517-8279-0A30B60A6029}] => (Block) LPort=445
FirewallRules: [{F3DE288A-982C-4CDA-A7EF-79F45D6901F2}] => (Block) LPort=445
FirewallRules: [{0353A83B-5D42-43EA-BAE9-8E976C68E0AC}] => (Block) LPort=139
FirewallRules: [{16AF30A9-80EC-49CC-8634-612DB24C92A3}] => (Block) LPort=139
FirewallRules: [{676BAC42-E3B5-47C2-9DF2-FA665AA91718}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{B2A70A37-BC84-4D18-9B4E-A8A7D69A8308}] => (Allow) LPort=3389
FirewallRules: [{CC8680D9-59EC-4E0F-9C93-384F7C4EC03D}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{D35EFD8E-65A5-4586-B84E-5B7377357141}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{33216869-81EC-4582-90A2-FD40B168C84A}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{62795040-58EA-43E8-9941-F32BC77165BA}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{158D21A7-62C5-453A-84F0-1E03ED28D203}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{FA2E4867-2FA5-4C82-955D-47FE1A7EE244}] => (Allow) C:\Users\Yann\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{984545B7-D168-4EC4-B3E1-86DC4FA23EB6}] => (Allow) C:\Program Files (x86)\Overwolf\0.221.0.4\OverwolfBrowser.exe => Нет файла
FirewallRules: [{1FB92197-2878-4C95-AF14-FAA5C9D5EFC1}] => (Allow) C:\Program Files (x86)\Overwolf\0.221.0.4\OverwolfBrowser.exe => Нет файла
FirewallRules: [{032AF937-E9F6-4568-A81A-99BC7A1D1050}] => (Block) C:\Program Files (x86)\Overwolf\0.221.0.4\OverwolfBrowser.exe => Нет файла
FirewallRules: [{85490A68-8477-468C-A5A4-F16CC5181E4A}] => (Block) C:\Program Files (x86)\Overwolf\0.221.0.4\OverwolfBrowser.exe => Нет файла
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

 

[ErikSanders]

Сделал

 

[akok]

проверяйте, что с системой.

 

[ErikSanders]

Нагрузки нет, программы открываются. Запустил ещё раз логи - John удалился. Есть ещё какие-то рекомендации?
Благодарю за помощь!

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[ErikSanders]

Лог

 

[akok]

Исправьте по возможности и удачи!
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.8 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12026.20320 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
VMware Workstation v.17.0.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Microsoft Office Project Профессиональный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Project Professional 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^