Решена Подозрительный процесс taskhostw.exe и проблема с майнером

[абоба]

Здравствуйте, похоже подцепил майнера, в системе есть подозрительный процесс taskhostw.exe который программа AVB кидает в папку с логом. Также в системе был пользователь john, но сейчас я его не замечаю. Не открывались сайты с предложениями по решению проблемы и AVB с оригинальным названием, сейчас же все работает исправно. Хочу узнать есть ли проблема сейчас или нет. Прикрепил свежие логи

 

[Sandor]

Здравствуйте!

Кое-что ещё осталось, будем чистить.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Web Companion

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Админ', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Админ', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



"Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

O4 - HKCU\..\Run: [App-Torrent-Igruha] = C:\Users\MegaEj\AppData\Local\Programs\com.wsa.a10\App-Torrent-Igruha.exe (file missing)
O4 - HKCU\..\Run: [Web Companion] = C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O15 - Trusted Zone: http://webcompanion.com
O22 - Tasks_Migrated: (damaged) Админ - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Админ /t REG_SZ /d "explorer.exe http://dinoklafbzor.org" (user missing)
O22 - Tasks_Migrated: Browserupdphenix - C:\Users\MegaEj\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=8B18CD12D3A7D2CB4B94CF311327C45CD43F9DDBE81A564A9831F272CEB83240F50834F57F60A30858952B96B8 --id=1 --sub-id=812 (file missing)
O22 - Tasks_Migrated: Админ - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Админ /t REG_SZ /d "explorer.exe http://dinoklafbzor.org"

Перезагрузите компьютер вручную.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[абоба]

Все прошло без проблем, вот результаты

 

[Sandor]

Программа

Links version 1.0

вам скорее всего неизвестна. Если так, деинсталлируйте, как нежелательную.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {80D3FBB6-ADB5-4A31-9C48-6F4F4D706BE3} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8A8E1B52-B0A8-4A34-AEF9-88B704BD34B5} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\MegaEj\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2021-11-21]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AV: Kaspersky Security Cloud (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\Users\MegaEj\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\MegaEj\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2596]
  FirewallRules: [{8463D558-BBDA-442F-9674-FE198F029649}] => (Allow) LPort=27036
  FirewallRules: [{A0F6A75C-19FA-4ABB-9030-09668C9E8B38}] => (Allow) LPort=3074
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[абоба]

При удалении программы Links произошла ошибка и далее идет бесконечное удаление

 

[Sandor]

Пробуйте удалить принудительно через Geek Uninstaller

 

[абоба]

удалил

 

[Sandor]

Хорошо. Ещё, пожалуйста, это сделайте:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[абоба]

Здравствуйте, простите за ожидание. Прикрепляю свежий лог

 

[Sandor]

Предустановленное ПО не трогайте (не отмечайте галочками). Чем из перечисленного не пользуетесь, удалите стандартно.
Остальное чистим.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

 

[абоба]

Как я понял мне нужно удалить все эти файлы, верно?

 

[Sandor]

Судя по скриншоту, они все уже в карантине. Прикрепите отчёт:

в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).

 

[абоба]

Прикрепляю

 

[Sandor]

Это лог повторной очистки, интересно посмотреть первый с именем AdwCleaner[C00].txt

Что в итоге с проблемой?

 

[абоба]

По проблеме майнер никак себя не проявляет, лишние пользователи не появляются. Компьютер не шумит, думаю что проблема решена

 

[Sandor]

Хорошо, завершаем:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.