Решена Нужна помощь в избавлении от майнера.

[metan]

Впервые с таким сталкиваюсь. У меня слетела активация Майкрософт офиса, активатор не помогает - гвоорит о несовместимости разрядностей. Спросил у друга - он сказал установить, и вот подцепил вирус, из-за которого ноутбук очень сильно тормозит.
Благо нашел вас, скачал AVR, переименовал и сделал проверку. Логи скинул ниже. Прошу помощи с избавлением от вируса и его последствий.

 

[regist]

Лог похоже забрали до того как утилита закончила работу. Там ещё hosts должно было проверить и предложить очистить если требуется.
Но давайте логи по правилам Правила оформления запроса о помощи там уже видно будет, что осталось.

 

[metan]

Очень странно, что с таким важным файлом так получилось.
Отправляю снова логи, где утилита отработала полностью

 

[Sandor]

Хорошо. Теперь:

логи по правилам Правила оформления запроса о помощи там уже видно будет, что осталось

 

[metan]

Доброе утро. Похоже, что отправлял не те логи. Сделал все по инструкциям и прикрепил нужный архив с логами

 

[Sandor]

"Пофиксите" в HijackThis только следующее:

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[metan]

"Пофиксил" все 5 файлов в HijackThis и выполнил сканирование с помощью FRST. Логи от отработки последней программы прикрепляю.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [hola] => C:\Program Files\Hola\app\hola.exe --silent (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc:6D97201572 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hola.lnk:763786C2BA [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamViewer.lnk:C7FE7E9A98 [3314]
  FirewallRules: [{78205246-BDD2-4070-93DD-AA850DC198A2}] => (Allow) LPort=1688
  FirewallRules: [{3BD2E8F7-E934-4D62-B73F-44103F3C9110}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ виден

Hola VPN 1.193.354

Деинсталлируйте, а если нужен VPN, выберите какой-нибудь другой, не отмеченный в качестве нежелательного ПО.

 

[metan]

Добрый вечер. Удалил расширение HolaVpn, Сделал фикс в FRST. История браузера и вкладки остались невредимыми.
Логи прикрепляю.

 

[Sandor]

Скрипт отработал успешно. Что сейчас с проблемой?

 

[metan]

С ноутбуком сейчас все хорошо, он не нагружается, а признаки вируса сошли на нет.
Без вас было бы тяжко. Огромное спасибо.
Вас часто поддерживают донатом?

 

[Sandor]

С ноутбуком сейчас все хорошо, он не нагружается, а признаки вируса сошли на нет

Отлично!

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Вас часто поддерживают донатом?

Случается
Хоть это и не обязательно.

 

[metan]

Доброго вечера. Удалил FRST и сделал сканирование с помощью программы SecurityCheck. Логи прикрепляю.

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.28.5 Внимание! Скачать обновления
Node.js v.16.14.2 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
LibreOffice 7.4.0.3 v.7.4.0.3 Внимание! Скачать обновления
Python 3.10.2 (64-bit) v.3.10.2150.0 Внимание! Скачать обновления
Wireshark 3.6.5 64-bit v.3.6.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Microsoft Teams v.1.4.00.32771 Внимание! Скачать обновления
Zoom v.5.8.3 (1581) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.8 v.4.3.8 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u341-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.81.604.gccacfc8c Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.9.2.1495 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.106.0.5249.103
Microsoft Edge v.106.0.1370.34 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО.