Решена Обнаружены скрытые майнеры на ПК

[MileyKos]

Доброго времени суток. Вчера вечером посещала страницы сети Интернет и наткнулась на небольшую проблему - был выполнен выход из аккаунта Гугл на странице почты с указанием, что на устройстве были обнаружены вредоносные программы. В качестве удостоверения, что я действительно могла что-то подцепить пыталась скачать Dr Web CureIt, но сайт закрывался и не давал возможности это сделать. Далее я пыталась скачать антивирус, чтобы просканировать свой компьютер, но после скачки и открытия они или закрывались, на секунду появившись в Диспетчере задач, или же открывались и выдавали неизвестную ошибку (использовала Kaspersky Free и AVG Antivirus Free). Вскоре, скачав Dr Web CureIt с помощью телефона и переместив его на ПК, были обнаружены BtcMine MicrosoftHost.exe и подозрительное приложение audiodg.exe и помечалось как вредоносное, которое требовало лечения. Спустя проверку проблема исчезает, но после перезагрузки ПК эти программы снова появляются в списке угроз. Диспетчер задач также время от времени закрывается, но я так и не поняла, какой конкретно процесс содействует его резкому закрытию.

При попытке сделать логи программой AutoLogger.exe программа распаковывает папки и файлы, но после предупреждения об открытии браузеров она мгновенно отключается (в Диспетчере задач эта программа также включается и пропадает), соответственно, предоставить архив с логами я не могу. Скриншот распакованной папки AutoLogger прилагаю.

 

[MileyKos]

Через безопасный режим с сетью смогла сделать логи. Без него ни в какую. Не уверена, насколько они актуальны в таком случае.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\Setup\Game.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\Setup\Game.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\ManagerSystem');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\1Hour');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\OnReboot');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
ClearHostsFile;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[regist]

+ до сбора логов FRST
Скачайте AV block remover. Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Как вариант, можно воспользоваться версией со случайным именем. Если и так не сработает, запускайте в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

[MileyKos]

Доброго времени суток, вот лог ABbr.

 

[MileyKos]

логи FRST

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{64988E58-12AB-4C15-B2D1-FD3DCEC2375D}] => (Allow) D:\Program Files (x86)\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{09F60B15-D2D7-4581-828E-328057474504}] => (Allow) D:\Program Files (x86)\uTorrent\uTorrent.exe => Нет файла
  FirewallRules: [{7E99832D-8E1B-4967-8B00-D63A0599A4BC}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{0C5301A5-1FE7-4329-9CB3-3B13099A7C7B}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{A4B6090B-D92E-4959-95F6-52E85A6D4D5C}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{8B639B61-557A-401C-9CBD-F5DFFDA643D9}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.27\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{743B0DB0-4824-4813-8E70-AB61614D89A3}] => (Allow) C:\Program Files (x86)\Overwolf\0.221.109.14\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{5CD4D46B-6A1C-4097-A250-893072CA2975}] => (Allow) C:\Program Files (x86)\Overwolf\0.221.109.14\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{F42D6134-ABFE-4AEB-9F9D-D11208971D08}] => (Block) C:\Program Files (x86)\Overwolf\0.221.109.14\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{CFBC194E-129B-4B52-BE7C-ECC164FE115B}] => (Block) C:\Program Files (x86)\Overwolf\0.221.109.14\OverwolfBrowser.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

проверяйте, что с проблемой?
Подготовьте лог лог SecurityCheck by glax24

 

[MileyKos]

Жить стало легче: сайты с антивирусами открывает, из Диспетчера не вылетает. Никаких посторонних процессов не вижу. Спасибо большое.

 

[akok]

Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9012 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46802 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.6.0.46802 v.3.6.0.46802 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки