Решена Проблема с удалением майнера на компьютере

[Silent]

Здравствуйте! Недавно, как выяснилось, подцепил майнер на компьютер(компьютер начал сильно тормозить, было невозможно открыть страницы в браузере для скачивания антивируса или с форумами помощи). Программой Roguekiller было обнаружено 3(?) майнера(Mysql.exe, clr_optimization, PuzzleMedia), которые этой программой удалиться не могли. Пользоваться браузером смог только после использования утилиты AVZ. Программа же Malwarebytes устанавливается, но не открывается. Собственно, хотел бы узнать, удалился ли полностью майнер с компьютера, или есть какие-то остаточные файлы? Очень прошу вашей помощи.

 

[Sandor]

Здравствуйте!

после использования утилиты AVZ

Точнее после AVbr, верно? Если да, покажите её отчёт в виде файла AV_block_remove_дата-время.log

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Silent]

Да, AVbr.

Здравствуйте!


Точнее после AVbr, верно? Если да, покажите её отчёт в виде файла AV_block_remove_дата-время.log

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Sandor]

Лог AVbr неполный. Если есть другой, тоже покажите, пожалуйста.

Деинсталлируйте устаревшие и не поддерживаемые:

Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Java 7 Update 10
Java 8 Update 51 (64-bit)

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {08276d4e-d973-11eb-a5fd-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {2a897dcc-1df5-11ed-bc6b-902b34577e93} - F:\AutoRun.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {3e65be2e-7c43-11e2-84da-902b34577e93} - F:\Autoinstaller.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {5528255b-49c4-11eb-97c4-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {836c6be7-7a15-11ea-90e7-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {9ec398cf-d9a8-11e2-bc94-902b34577e93} - F:\Autoinstaller.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {de0215a9-813d-11ea-8a22-902b34577e93} - F:\HiSuiteDownLoader.exe
  Task: {2600EF87-FDE6-4BB6-A6C5-7C9E51F55C31} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {32A04250-0EBE-4274-B328-C39599739107} - \{3C9D4199-EC71-4712-A24D-768E46F1EED0} -> Нет файла <==== ВНИМАНИЕ
  Task: {55572781-405A-4D00-84ED-E095B07A990D} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {7E51496E-D58E-4270-B394-9D98595E2918} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {CE28EFF1-4552-47F1-A87D-467FE372AC45} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [cffeojapggfbefkkinncgdkbpalnmfpm] - C:\Program Files (x86)\Crx\cffeojapggfbefkkinncgdkbpalnmfpm_0.0.1.crx [2013-02-20]
  S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\Users\User\Local Settings:wa [178]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем1.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем2.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\User\AppData\Local:wa [178]
  AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [178]
  FirewallRules: [{7AF4D4BE-3A94-473D-850E-73F976F82975}] => (Allow) LPort=5357
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Silent]

Лог AVbr неполный. Если есть другой, тоже покажите, пожалуйста.

Деинсталлируйте устаревшие и не поддерживаемые:


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {08276d4e-d973-11eb-a5fd-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {2a897dcc-1df5-11ed-bc6b-902b34577e93} - F:\AutoRun.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {3e65be2e-7c43-11e2-84da-902b34577e93} - F:\Autoinstaller.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {5528255b-49c4-11eb-97c4-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {836c6be7-7a15-11ea-90e7-902b34577e93} - F:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {9ec398cf-d9a8-11e2-bc94-902b34577e93} - F:\Autoinstaller.exe
  HKU\S-1-5-21-448035585-1883840388-593723252-1000\...\MountPoints2: {de0215a9-813d-11ea-8a22-902b34577e93} - F:\HiSuiteDownLoader.exe
  Task: {2600EF87-FDE6-4BB6-A6C5-7C9E51F55C31} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {32A04250-0EBE-4274-B328-C39599739107} - \{3C9D4199-EC71-4712-A24D-768E46F1EED0} -> Нет файла <==== ВНИМАНИЕ
  Task: {55572781-405A-4D00-84ED-E095B07A990D} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {7E51496E-D58E-4270-B394-9D98595E2918} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {CE28EFF1-4552-47F1-A87D-467FE372AC45} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [cffeojapggfbefkkinncgdkbpalnmfpm] - C:\Program Files (x86)\Crx\cffeojapggfbefkkinncgdkbpalnmfpm_0.0.1.crx [2013-02-20]
  S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  AlternateDataStreams: C:\Users\User\Local Settings:wa [178]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем1.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем2.jpeg:3or4kl4x13tuuug3Byamue2s4b [93]
  AlternateDataStreams: C:\Users\User\Desktop\полис_Артем2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\User\AppData\Local:wa [178]
  AlternateDataStreams: C:\Users\User\AppData\Local\Application Data:wa [178]
  FirewallRules: [{7AF4D4BE-3A94-473D-850E-73F976F82975}] => (Allow) LPort=5357
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Спасибо.
Не нужно полностью цитировать предыдущее сообщение, это ухудшает читаемость темы. Пишите в нижнем поле быстрого ответа.

 

[Silent]

Понял, хорошо

 

[Sandor]

Что сейчас с проблемой?

 

[Silent]

Я так понимаю майнер с компьютера удален, спасибо. Но Malwarebytes все равно запускаться не хочет. Ну, это уже совсем другая тема. Большое вам спасибо!

 

[Sandor]

Нет, это та же тема.

Пробуем его переустановить.

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Затем:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Silent]

Перед установкой удалил программу Roguekiller

 

[Sandor]

Хорошо.
Значит Malwarebytes запускается и работает. Можно ничего не удалять, там карантин Roguekiller, торрент-клиент и несколько ложных срабатываний.

В итоге - сейчас проблема решена?

 

[Silent]

Да, спасибо!

 

[Sandor]

Хорошо, завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Silent]

Готово.

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 10.0.9200.16686 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.14.210 v.4.5.14.210 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.3.6.1 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 8.4.0 (Standard) v.8.4.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.20) - Russian v.11.0.20 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
---------------------------- [ UnwantedApps ] -----------------------------
Weatherbar v.1.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО