Решена Помощь в чистке после майнера

[osmos]

Добрый день! Обнаружил майнера (сильно шумела видеокарта), после блокировки попыток скачать утилиты - 6 бесчестных часов сражения. В итоге я нашёл Ваши утилиты (спасибо, что Вы есть), и через час проблема была решена.
Теперь у меня паранойя, и я хотел бы убедиться, что всё позади. Я звукорежиссёр, из-за этого в системе много .dll файлов и прочего программного обеспечения, что затрудняет обнаружение вирусов.

 

[akok]

Немного мусора
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\ESP
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[Sandor]

+
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[osmos]

Сделано:

Сведения о файле:

Размер файла, байт:	181303169
MD5:	43D84E8FF3BC65EE843CD8BD9C6E3B02

Файл успешно загружен и поставлен в очередь на обработку, спасибо!

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1888370501-3909151571-1648752285-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR DefaultSearchURL: Default -> hxxps://www.google.ru/search?newwindow=1&sxsrf=ACYBGNS2GHIIjZNy2m4MZ4YRODMcYw_ADA%3A1572187563226&source=hp&ei=q621XcCjC8SqrgTV9o_ABA&q={searchTerms}&btnK=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA+%D0%B2+Google&oq=%D1%84%D0%B8%D0%BB%D1%8C%D0%BC+%D0%BF%D0%B0%D1%80%D0%B0%D0%BD%D0%BE%D0%B9%D1%8F+%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C+%D1%82%D0%BE%D1%80%D1%80%D0%B5%D0%BD%D1%82%D0%BE%D0%BC+%D0%B1&gs_l=psy-ab.3.1.33i22i29i30l2.2861.17424..19159...3.0..3.408.3438.13j13j1j0j1......0....1..gws-wiz.......0i131j0j35i39j35i305i39j0i10j0i22i30.spUNcQVkXqY
  ContextMenuHandlers1: [DrwMenuHandlers64] -> {035B18F9-A217-44d5-91C9-B682C33C1078} =>  -> Нет файла
  ContextMenuHandlers1: [Kaspersky Small Office Security 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
  ContextMenuHandlers2: [Kaspersky Small Office Security 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
  ContextMenuHandlers4: [Kaspersky Small Office Security 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
  ContextMenuHandlers6: [DrwMenuHandlers64] -> {035B18F9-A217-44d5-91C9-B682C33C1078} =>  -> Нет файла
  ContextMenuHandlers6: [Kaspersky Small Office Security 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData:482EE99B1E21CE8C [217]
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\Users\All Users:482EE99B1E21CE8C [217]
  AlternateDataStreams: C:\Users\Все пользователи:482EE99B1E21CE8C [217]
  AlternateDataStreams: C:\ProgramData\Application Data:482EE99B1E21CE8C [217]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8336]
  AlternateDataStreams: C:\Users\user\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\user\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  HKU\S-1-5-21-1888370501-3909151571-1648752285-1000\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1888370501-3909151571-1648752285-1000\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1888370501-3909151571-1648752285-1000\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-1888370501-3909151571-1648752285-1000\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[osmos]

Готово:

 

[Sandor]

Скрипт отработал успешно. Если внешне больше никаких проблем не наблюдаете, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.