Решена Попался майнер, дальнейшие действия после AVbr

[yozheg]

Доброго времени суток! Заметил, что появился MicrosoftHost.exe и ест чересчур много ресурсов, прогнал через AVbr, он исчез. Но, боюсь, возможно не все последствия майнера удалил.
Прикладываю логи от AV_block_remover'a и от FRST64.

 

[yozheg]

Прикрепляю CollectionLog

 

[Sandor]

Здравствуйте!

Да, кое-что ещё нужно почистить.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

"Пофиксите" в HijackThis только следующие строки:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\PowerShell\ScheduledJobs\Chocolatey Daily Upgrade - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoLogo -NonInteractive -WindowStyle Hidden -Command "Import-Module PSScheduledJob; $jobDef = [Microsoft.PowerShell.ScheduledJob.ScheduledJobDefinition]::LoadFromStore('Chocolatey Daily Upgrade', 'C:\Users\dimon\AppData\Local\Microsoft\Windows\PowerShell\ScheduledJobs'); $jobDef.Run()" (sign: '')
O22 - Tasks: \Microsoft\Windows\PowerShell\ScheduledJobs\Winget Daily Upgrade - C:\WINDOWS\System32\WindowsPowerShell\v1.0\powershell.exe -NoLogo -NonInteractive -WindowStyle Hidden -Command "Import-Module PSScheduledJob; $jobDef = [Microsoft.PowerShell.ScheduledJob.ScheduledJobDefinition]::LoadFromStore('Winget Daily Upgrade', 'C:\Users\dimon\AppData\Local\Microsoft\Windows\PowerShell\ScheduledJobs'); $jobDef.Run()" (sign: '')

Перезагрузите компьютер.

Включите защиту от подделки (была отключена майнером).

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[yozheg]

Пофиксил в HijackThis, нежелательное ПО в виде Bonjour удалил. Не могу включить защиту от подделки, поскольку при запуске защитника Windows(находит его только через встроенный поиск в Пуске, в разделе Параметров - Конфиденциальность и защита его просто нет) - открывается черное окно и ничего не происходит. Прикладываю логи FRST и Addition.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1326847082-1582025644-2035396771-1001\...\MountPoints2: {1ee3f3e3-52f4-11ee-af42-f44ee3ca3b76} - "D:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2024-05-02 19:04 - 2023-04-03 00:05 - 000000000 ____D C:\Program Files\RDP Wrapper
  2024-05-02 19:04 - 2023-04-03 00:04 - 000000000 ____D C:\ProgramData\WindowsTask
  AlternateDataStreams: C:\Windows:CM_2a732c3f1e3eb40b63fe062d0180f157c71684af0a0442ab953224075801bb78 [74]
  AlternateDataStreams: C:\Windows:CM_bf41c588bad5a092a453669c0d3c66d1ec2c072fbf5c15cc6acda24c9e4d0955 [74]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{2850d560-d193-11ed-af27-f44ee3ca3b76}.TM.blf:276E179127 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{2850d560-d193-11ed-af27-f44ee3ca3b76}.TMContainer00000000000000000001.regtrans-ms:39C6349482 [3442]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{2850d560-d193-11ed-af27-f44ee3ca3b76}.TMContainer00000000000000000002.regtrans-ms:B720FFA4CB [3442]
  AlternateDataStreams: C:\ProgramData\TEMP:F8AF2BB9 [180]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2023.lnk:C1A7220736 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2022.lnk:638138415C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442]
  FirewallRules: [{8FE371C1-0CBE-4CAC-9EE2-A323767EA55B}] => (Allow) LPort=1688
  FirewallRules: [{31F1CD92-C932-42EF-B438-9FD7B25734ED}] => (Allow) LPort=1688
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 3
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[yozheg]

Выполнил исправления, пункт Безопасность Windows появился в разделе, но при открытии всё тоже самое.

Спойлер: Скриншот

Прикладываю FixLog.

 

[Sandor]

А вы ранее не использовали некие твики для отключения Защитника?

 

[yozheg]

А вы ранее не использовали некие твики для отключения Защитника?

Честно - не помню, такую возможность допускаю.
В свете последних событий с обнаружением майнера прошу выслать возможную инструкцию для включения его обратно

 

[Sandor]

Сделайте такой отчёт:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[yozheg]

Сделайте такой отчёт:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Высылаю отчет.

 

[Sandor]

Тип запуска службы dosvc (Оптимизация доставки) переведите на "Авто", перезагрузите компьютер и проверьте.
Сможете самостоятельно?

 

[yozheg]

Тип запуска службы dosvc (Оптимизация доставки) переведите на "Авто", перезагрузите компьютер и проверьте.
Сможете самостоятельно?

Пытаюсь, но выдает следующую ошибку.

Спойлер: Скриншот

 

[yozheg]

Пытаюсь, но выдает следующую ошибку.

Спойлер: Скриншот

Посмотреть вложение 108951

Хотя сейчас через AnVir получилось.

 

[yozheg]

Тип запуска службы dosvc (Оптимизация доставки) переведите на "Авто", перезагрузите компьютер и проверьте.
Сможете самостоятельно?

После перезагрузки выставилось на Автоматически (отложенный запуск), через минуту обратно на вручную.

 

[Sandor]

Деинсталлируйте для эксперимента этот Anvir.

 

[yozheg]

Деинсталлируйте для эксперимента этот Anvir.

Ничего не изменилось после деинсталляции и перезагрузки.

 

[Sandor]

Распакуйте вложенный архив и запустите (от имени администратора) reg-файл. Согласитесь с внесением изменений в реестр и перезагрузите компьютер.

 

[yozheg]

Распакуйте вложенный архив и запустите (от имени администратора) reg-файл. Согласитесь с внесением изменений в реестр и перезагрузите компьютер.

Не помогло, до сих пор тоже самое.

Спойлер: Скриншот

 

[Sandor]

Советую установить сторонний антивирус (можно бесплатный). Anvir к "нормальным" антивирусам никак не относится.
Здесь проделайте завершающие шаги:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[yozheg]

Прикрепляю SecurityCheck.txt