Решена Словил майнер и отобрали админские права

[ONEXXX]

Всех приветствую!
У меня проблема: словил майнер COM Surrogate на ноут, снести не могу, права админские отобрали. Вроде админские права вернул с помощью Windows Unlocker, но нужно как-то и майнер снести.
Помогите, пожалуйста!
Логи прикрепляю.
До этого создал аналогичную тему (В работе - Словил майнер и потерял админские права), но умудрился прое... потерять доступ буквально за полтора часа (какой позор...).
В общем, помогите, пожалуйста! И просьба к админам: закройте предыдущую тему, пожалуйста!

 

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[ONEXXX]

Все сделал, логи во вложении.

 

[thyrex]

Файл C:\Windows\SysWOW64\DllHost.exe скопируйте в папку с системы, аналогичной Вашей.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-2032842562-2607399673-3166915904-1001\...\MountPoints2: {3573b32c-58e4-11eb-8958-9828a649f2be} - "E:\AutoRun.exe"
HKU\S-1-5-21-2032842562-2607399673-3166915904-1001\...\MountPoints2: {6f51ee49-d158-11eb-895d-9828a649f2be} - "E:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2032842562-2607399673-3166915904-1001\...\MountPoints2: {d16f0d74-d324-11e9-8939-9828a649f2be} - "F:\Lenovo_Suite.exe"
HKU\S-1-5-21-2032842562-2607399673-3166915904-1001\...\MountPoints2: {f10ee7d6-b081-11ea-8949-9828a649f2be} - "E:\AutoRun.exe"
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Тахир\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AutoConfigURL: [{95A80739-476B-4AEE-BB6F-DCDEB23E79DA}] => hxxps://antizapret.prostovpn.org/proxy.pac <==== ВНИМАНИЕ
2024-06-11 23:00 C:\Program Files\ReasonLabs
2024-06-11 23:00 C:\Program Files (x86)\Wise
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2032842562-2607399673-3166915904-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\Тахир\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.16\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> Нет файла
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Нет файла
ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> Нет файла
ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} =>  -> Нет файла
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
FirewallRules: [{3D692AC3-F2D6-431A-BD1A-D07821056D13}] => (Allow) C:\Users\Тахир\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{4D296BA5-00C5-40ED-BBDB-BF994074C876}] => (Allow) C:\Users\Тахир\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{99929210-C041-4089-A146-889B72E00645}] => (Allow) LPort=8028
FirewallRules: [{55A1BA97-EA04-4FA3-8C54-56E88AAFEBFB}] => (Allow) LPort=8028
FirewallRules: [{80F43739-5938-45AF-AED9-27C69D99BABC}] => (Allow) LPort=8028
FirewallRules: [{809F328D-6A08-43A9-B796-D65A0F8CA066}] => (Allow) LPort=8028
FirewallRules: [{89D89908-2358-474B-ABE7-22270567F918}] => (Allow) LPort=8028
FirewallRules: [{D1DCC624-EECB-4224-945F-FD59A72BC885}] => (Allow) LPort=8028
FirewallRules: [{BE8F4B8B-1645-48FE-86D1-A575C138D30E}] => (Allow) LPort=8028
FirewallRules: [{E75EB53B-B9D3-4945-B420-4B2BCAB8A6A8}] => (Allow) LPort=8028
FirewallRules: [{5A52119D-7495-4CC8-8938-78EC988009DE}] => (Allow) LPort=8028
FirewallRules: [{A4F5770D-AF6C-480B-88B4-889FC3DFFF15}] => (Allow) LPort=8028
FirewallRules: [{D2A35942-9B8A-451B-9575-C2DC169F7221}] => (Allow) LPort=8028
FirewallRules: [{615161F1-F38F-4CCE-8F96-82036C5B3906}] => (Allow) LPort=8028
FirewallRules: [{1D66A651-4E77-44A7-80AA-F36C64A68339}] => (Allow) LPort=8028
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[ONEXXX]

Если вы имеете в виду под системой еще один ноут с Win10, то возможности такой нет у меня. На данный момент под рукой только ноут с Win10 (с которым проблема) и рабочий ПК с Win11

 

[ONEXXX]

Может быть есть вариант мне через форум такой файл прислать, я дальше все операции проверну

 

[akok]

Если вы имеете в виду под системой еще один ноут с Win10, то возможности такой нет у меня. На данный момент под рукой только ноут с Win10 (с которым проблема) и рабочий ПК с Win11

Сделайте бекап старого файла, я стянул с древней сборки 10 на виртуалке, не факт, что не поломает все.

 

[thyrex]

Сделайте бекап старого файла

там файла нет судя по логам

 

[akok]

там файла нет судя по логам

Тогда и терять особо нечего ))

 

[thyrex]

Из-за его отсутствия системная ошибка

Error: (07/13/2024 05:04:08 PM) (Source: DCOM) (EventID: 10000) (User: NT AUTHORITY)
Description: Не удалось запустить DCOM-сервер: {00021401-0000-0000-C000-000000000046}.Ошибка:
"2"
Произошла при запуске команды:
C:\Windows\SysWOW64\DllHost.exe /Processid:{00021401-0000-0000-C000-000000000046}

 

[ONEXXX]

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Готово, файл во вложении.

 

[Sandor]

Соберите новые логи FRST.txt и Addition.txt
Сообщите что с проблемой.

 

[ONEXXX]

Логи во вложении. COM Surrogate все еще есть, на секунду в диспетчере появляется, потом исчезает

 

[Sandor]

COM Surrogate все еще есть

Это нормальный системный процесс. Вредоносы часто пытаются маскироваться под обычные процессы системы.
Вопрос был о том, проявляется ли как-то внешне проблема?

Ещё один скрипт выполните:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\eset_security_config_overlay.js [2021-08-09]
  CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=497068"
  C:\Users\Тахир\AppData\Local\Google\Chrome\User Data\Default\Extensions\ndggbflphllidmcallapjjfgdigonlcg
  CHR HKU\S-1-5-21-2032842562-2607399673-3166915904-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ONEXXX]

Вот этот процесс висит в диспетчере. Как только открываю диспетчер, он пропадает. Если я каким-либо образом успеваю на него попасть и пытаюсь открыть путь до файла, то все закрывается

 

[Sandor]

То, что указанный процесс появляется на короткое время, я понял.
Но вопрос был

проявляется ли как-то внешне проблема?

То есть, наблюдаете ли некие зависания, торможения, что-либо не работает и т.п.?
Скрипт выполните.

 

[ONEXXX]

Скрипт выполнил, лог во вложении. Внешне вроде никак на данный момент не выделяется. Раньше, например, выскакивали при загрузке несколько окон с командной строкой и куча ошибок, сейчас такого нет.

 

[Sandor]

Значит считаем, что проблема решена.

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[ONEXXX]

Просканировал, файл во вложении.

 

[Sandor]

Исправьте по возможности:

Windows - Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Notepad++ (64-bit x64) v.8.1.9.2 Внимание! Скачать обновления
Microsoft Office Standard 2019 - ru-ru v.16.0.10411.20011 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft SQL Server 2012 Native Client v.11.0.2100.60 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Setup Support Files v.10.3.5500.0 Данная программа больше не поддерживается разработчиком.
Microsoft SQL Server 2008 Native Client v.10.0.1600.22 Данная программа больше не поддерживается разработчиком.
Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
paint.net v.4.3.12 Внимание! Скачать обновления
GIMP 2.10.32-1 v.2.10.32 Внимание! Скачать обновления
Discord v.1.0.9004 Внимание! Скачать обновления
Telegram Desktop v.4.14.9 Внимание! Скачать обновления
µTorrent v.3.6.0.46902 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.16 Внимание! Скачать обновления
Opera GX Stable 109.0.5097.142 v.109.0.5097.142 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Mozilla Thunderbird (x64 ru) v.102.7.2 Внимание! Скачать обновления

Читайте Рекомендации после удаления вредоносного ПО