Решена Удаление майнера John

[EDen]

Здравствуйте, появился пользователь John в системе, помогите, пожалуйста, удалить его и последствия, а по-возможности уберечься от утечки данных или поломки ОСи.

Симптомы:

1. Новый пользователь John.
2. Гудут вентиляторы ноутбука, но при включении диспетчера стихают.
3. Закрывается браузер на сайтах с утилитами (в т.ч. ваш).
4. Закрывается сам AVbr, AVZ, FRST.

Что делал:

1. Пытался запустить AVbr или Ваш сбор логов в AVZ, програма выключалась (переименование не помогало, рандом название тоже).
2. Запустил безопасный режим + сделал удаление пользователя John через AVbr.
3. Наконец смог собрать логи по Вашей инcтрукции.

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
  if FileExists (GetAVZDirectory+'quarantine.7z') then DeleteFile(GetAVZDirectory+'quarantine.7z');
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[EDen]

Выполнил скрипт, логи прилагаю.

З.Ы.
Базу безопасных файлов тоже пополнил.

 

[akok]

Что с проблемой?

 

[EDen]

Что с проблемой?

Другого пользователя не наблюдаю, симптомов тоже, спасибо.
А не подскажете из-за чего могло произойти заражение ? Видел в скрипте фигурирует часто Realtek, хотя их драйвер качал довольно давно.

 

[akok]

А не подскажете из-за чего могло произойти заражение ?

Варезные игры с ненадежных ресурсов.

Подготовьте лог лог SecurityCheck by glax24

 

[EDen]

Варезные игры с ненадежных ресурсов.

Подготовьте лог лог SecurityCheck by glax24

Понимаю, спасибо.
Хоть и странно, потому что всегда стараюсь с одного трекера брать и никогда не попадал на подобное, а за последнее время так и совсем ничего не качал.

 

[akok]

Исправьте по возможности и удачи
------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
Viber v.19.3.0.0 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat v.22.003.20314 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^