Решена Подцепил вирус-майнер (john)

[Mr_chipus]

Всем привет! Помогите разобраться и уничтожить зловредный вирус
04.11 скачал kmsauto и в течении следующего времени наблюдал нагрузку на видеокарту раз в 5 минут, нагрузка была на 100 (смотрел в msiAfterburner), при открытом диспетчере задач нагрузка сразу падала
+ перестал открывать dropbox и в дальнейшем некоторые сайты
Потом сложил 2+2 и понял что это вирус майнер
Антивирусы не все открываются
В итоге попал на эту тему
Поставил AVbr, запускался только в безопасном режиме, ничего не нашёл, даже не предложил удалить пользователя John (я потом папку нашёл)
drweb cureit находил вирусы
Malwarebytes тоже находил
Так же я отредактировал файл hosts и удалил оттуда сайты которые блокировались
После чего вроде как начали запускаться антивирусы не только в безопасном режиме
Запускал ещё FRST после этого, т.к до этого ни в обычном, ни в безопасном режиме он не открывался
Сейчас вроде как сайты все открываются, браузер перестал закрываться на разных сайтах, но тот же касперский не запускается по причине отсутствия прав администратора
Да и вроде как майнер уже будто не работает, хотя всё равно есть какая-то нагрузка на гпу

 

[Sandor]

Здравствуйте!

Начните с логов по правилам раздела: Правила оформления запроса о помощи
И раз уж запускали AVbr, прикрепите и его отчёт вида AV_block_remove_дата-время.log

 

[Mr_chipus]

Здравствуйте!
Запустил AutoLogger (прикрепляю архив)
Отчёт с предыдущего запуска AVbr не сохранился, еще вчера это заметил

 

[Sandor]

Сделайте ещё раз:

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Mr_chipus]

Запустил AVbr
Вроде всё шло по плану, и John'a было предложено удалить но потом утилита закрылась и всё, автоматической перезагрузки не было
Я сам перезагрузил спустя несколько минут и запустил снова AutoLogger

 

[Sandor]

Хорошо, дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Mr_chipus]

Сделал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3245665633-3103464587-2345172709-1001\...\MountPoints2: {01e52054-4d4c-11ec-96d1-18c04d697c40} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3245665633-3103464587-2345172709-1001\...\MountPoints2: {f8d60bc7-98bf-11eb-9673-18c04d697c40} - "F:\Autoplay.exe" -auto
  HKU\S-1-5-21-3245665633-3103464587-2345172709-1001\...\MountPoints2: {f8d60bd9-98bf-11eb-9673-18c04d697c40} - "G:\Autoplay.exe" -auto
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {601E1F57-9F3D-41AA-8B8E-588349AB6C1A} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {899DCDBE-E733-4343-A1DE-46D2699229A5} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
  Task: {95BE6AFD-344D-4B4B-AA4C-407944C58E0E} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {BE9EDCB2-F1F5-4509-B6FB-3864113A6CA4} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Никита\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Никита\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{94648F81-75D4-4B1C-962F-10017132DD2F}] => (Allow) LPort=1688
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Mr_chipus]

Сделал

 

[Sandor]

Что из проблем сейчас осталось?

 

[Mr_chipus]

Полагаю что вроде как никаких проблем не осталось
Установщик касперского наконец запустился
Гигантское спасибо вам и команде

 

[Sandor]

Отлично!
Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Mr_chipus]

Готово

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Word 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.4.1 v.4.3.4.1 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.


Читайте Рекомендации после удаления вредоносного ПО

 

[Mr_chipus]

Спасибо!
Сделаю апдейты