Решена Поймал майнер Jhon!

[Mota1k]

Поймал майнер Jhon, не мог ни зайти сюда, ни скачать AVZ, через безопастный режим провел все манипуляции и полечил ПК при помощи AVZ. Хочу удостовериться, что подчищены все хвосты.
Логи приложил, антивирусов на ПК нет, дефендер отключен.

 

[Mota1k]

Помогите

 

[Mota1k]

Добавляю еще логи:

 

[akok]

Не добавляйте того, чего не просят. Потом переделывать придется.

 

[akok]

Систему сами натвикали?

 

[Mota1k]

Систему сами натвикали?

да, кастомная сборка

 

[akok]

Теперь будем ломать.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe 
  Task: {22FFAAF4-A47F-4E96-A0C9-2DB4D2CA99BE} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {6D724CDF-B038-459C-8B68-EEDE981F522E} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8C410A6F-0AC9-4FCC-92ED-3E432CEBBF91} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8D2D489C-DA12-4CC3-BDE3-8B542690B254} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {96FBE936-69A2-4812-9BF1-CE4559569036} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {FAE61B09-A29F-4688-A5A9-5E821D679BE0} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3759899362-4057482451-3769758762-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Mota1k]

Теперь будем ломать.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe
  Task: {22FFAAF4-A47F-4E96-A0C9-2DB4D2CA99BE} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {6D724CDF-B038-459C-8B68-EEDE981F522E} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8C410A6F-0AC9-4FCC-92ED-3E432CEBBF91} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {8D2D489C-DA12-4CC3-BDE3-8B542690B254} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {96FBE936-69A2-4812-9BF1-CE4559569036} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {FAE61B09-A29F-4688-A5A9-5E821D679BE0} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3759899362-4057482451-3769758762-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Прикрепляю

 

[akok]

C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe - проверьте на VirusTotal и дайте ссылку на результат проверки.

 

[Mota1k]

C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe - проверьте на VirusTotal и дайте ссылку на результат проверки.

Max file size exceeded (650 MB) на вирустотал не закидывается файл.

 

[akok]

Упакуйте файл в архив и на любой файлообменник, мне ссылку.

 

[Mota1k]

Упакуйте файл в архив и на любой файлообменник, мне ссылку.

DropMeFiles – free one-click file sharing service

Share your pictures, send large videos, exchange music or transfer big files. No registration required. Unlimited upload/download speed.

dropmefiles.com

 

[akok]

Проверяйте, как ведет себя система.

 

[Mota1k]

Проверяйте, как ведет себя система.

сейчас вроде ничего не нагружается, не провисает, просто хотелось быть уверенным, что вирус полностью ушел.

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe');
 QuarantineFile('C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe', 'Trojan-Banker.Win64.ClipBanker.j');
 DeleteFile('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe', '32');
 DeleteFile('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NTSystem', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NTSystem', 'x64');
end.

после выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Смените все пароли. Если пользуетесь интернет банкингом, то от него в первую очередь.

 

[Mota1k]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantine;
 TerminateProcessByName('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe');
 QuarantineFile('C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe', 'Trojan-Banker.Win64.ClipBanker.j');
 DeleteFile('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe', '32');
 DeleteFile('c:\users\matvey\appdata\roaming\ntsystem\ntlhost.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NTSystem', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NTSystem', 'x64');
end.

после выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Смените все пароли. Если пользуетесь интернет банкингом, то от него в первую очередь.

При попытки выполнения скрипта вылез синий экран с ошибкой: KERNEL_SECURITY_CHECK_FAILURE (Файл ntlhost остался на компьютере + был почему-то в автозагрузках (отключил) Прочитал, кажись вирус, как удалять?
Антивирусов на ПК нет, дефендер отключен.

Логи:

 

[regist]

Не надо заниматься оверкотингом, это запрещено правилами и только осложняет чтение сообщений.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

сайт

https://www.revi.cc/

вам знаком? Сами его в настройках прописывали?

батник

C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sec.bat

ваш?

Профиксите в HijackThis

O4 - HKCU\..\Run: [NTSystem] = C:\Users\Matvey\AppData\Roaming\NTSystem\ntlhost.exe
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE (file missing)
O22 - Tasks: \Microsoft\VisualStudio\Updates\BackgroundDownload - C:\Program Files (x86)\Microsoft Visual Studio\Installer\resources\app\ServiceHub\Services\Microsoft.VisualStudio.Setup.Service\BackgroundDownload.exe (file missing)

потом свежий архив с логами приложите.

 

[Mota1k]

1. Сайт знаком, домашняя страница сборки винды, не прописывал, была вшита.
2. Не знаком.
3. Пофиксил.
4. Архив закачал по инструкции - MD5: 0D0BBEE478E5DA877FFD611D0326C7F7
5. Логи: