Решена Удаление Tool.BtcMine.2660 и Trojan.MulDrop21.31933

[Tumano_915]

Добрый день, как я предполагаю, при активации Microsoft Office с помощью KMS, словил вирусы (названия указал в теме).
В последствии не устанавливаются никакие антивирусники, Dr. Web Cureit находит эти два вируса, якобы лечит и удаляет, но по факту этого не происходит.
Данный вирус нагружает ГП на 99%, при отключении интернета, это прекращается и можно работать за компьютером.
Прочитал правила создания данной темы, скачал AutoLogger, на моменте когда открываются браузеры, AutoLogger просто закрывается, видимо сбор логов на этом прекращается, предполагаю, что вирус это делает.
Подскажите, что делать дальше? На форуме сижу с другого компьютера, программы типа Dr. Web и AutoLogger перекидываю через флешку.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам.

 

[Tumano_915]

AV block remover тоже не хочет работать, подскажите на windows 10 заходить через безопасный режим безопасно?
А то в этой теме безопасном режиме написано, что могут быть повреждены настройки безопасного режима, как это проверить?

 

[Sandor]

на windows 10 заходить через безопасный режим безопасно?

Да, безопасно.

 

[Sandor]

написано, что могут быть повреждены настройки безопасного режима

Перечитал и не нашёл такого. Процитируйте, пожалуйста, если там такое действительно есть.

 

[Tumano_915]

Перечитал и не нашёл такого. Процитируйте, пожалуйста, если там такое действительно есть.

Вот, практически в самом начале, предполагаю, что это для каких-то старых версий windows

 

[Sandor]

Вы неправильно поняли. Иногда при заражении определенным типом вируса повреждаются настройки Безопасного режима, об этом и речь в том абзаце.
Но это не наш текущий случай. Так что загружайтесь смело.

 

[Tumano_915]

Снял логи, вроде все получилось, высылаю.

 

[Sandor]

Хорошо, уже должно полегчать.

Продолжим.

1. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, karelia.ru) и укажите ссылку на скачивание в своём следующем сообщении.

2. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Adobe Flash Player 32 PPAPI

3. "Пофиксите" в HijackThis только следующие строки (некоторых может не быть):

O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O22 - Tasks: \MaiSoft\QA_DE162BFE-CDC4-4B60-94F9-1B3E2D6FF66D - C:\Users\Alext\AppData\Local\QA\Helper.vbs -run $(Arg0)
O22 - Tasks: \MaiSoft\QA-de_DE162BFE-CDC4-4B60-94F9-1B3E2D6FF66D - C:\Users\Alext\AppData\Local\QA\Helper.vbs -run $(Arg0)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe -check pepperplugin
O22 - Tasks: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O22 - Tasks_Migrated: \MaiSoft\QA_DE162BFE-CDC4-4B60-94F9-1B3E2D6FF66D - C:\Users\Alext\AppData\Local\QA\Helper.vbs -run $(Arg0)
O22 - Tasks_Migrated: \MaiSoft\QA-de_DE162BFE-CDC4-4B60-94F9-1B3E2D6FF66D - C:\Users\Alext\AppData\Local\QA\Helper.vbs -run $(Arg0)
O22 - Tasks_Migrated: Adobe Flash Player PPAPI Notifier - C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_465_pepper.exe -check pepperplugin
O22 - Tasks_Migrated: Adobe Flash Player Updater - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

Перезагрузите компьютер.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Tumano_915]

Все 4 пункта выполнил, прикрепляю отчеты.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {dca98d0e-9081-432b-974f-8d0a812b58e5} - отсутствует путь к файлу
  2023-01-10 19:16 - 2023-01-10 19:16 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign5033107843bf476e
  2023-01-10 19:15 - 2023-01-10 19:15 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsignc144f4e427c86205
  2023-01-10 19:15 - 2023-01-10 19:15 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign6f5c4c1965369f9d
  2023-01-10 19:14 - 2023-01-10 19:14 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsignae22a42050c40b46
  2023-01-10 19:14 - 2023-01-10 19:14 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign6f2636319c7d518a
  2023-01-10 19:14 - 2023-01-10 19:14 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign3e9a89d52819758b
  2023-01-10 19:14 - 2023-01-10 19:14 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign2f2c4f84c16f77be
  2023-01-10 19:00 - 2023-01-10 19:00 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsigna2ca35ecca0c988a
  2023-01-10 19:00 - 2023-01-10 19:00 - 000000000 ____D C:\Users\Alext\AppData\Local\Tempzxpsign59dda59719c60597
  AlternateDataStreams: C:\Users\Alext\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Alext\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{6D966483-EA22-45A6-B0F1-FEBA0FC946CD}] => (Allow) LPort=32682
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Tumano_915]

Добрый день, готово, прикрепляю логи.

 

[Sandor]

Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Tumano_915]

Как я понял, проблема решена, нагрузки на ГП уже нет, сайты открывает, антивирус еще пробовал установить, хочу это сделать после полной процедуры очистки.
Файл с SecurityCheck прикрепляю.

 

[Sandor]

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2234.13 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46514 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex v.22.11.5.715 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.06 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО

 

[Tumano_915]

Спасибо вам огромное за помощь! Очень помогли!
Теперь буду внимательнее к скачиванию файлов в интернете)