Закрыто Вирус/майнер BtcMine.2733 и AutoIt.1224

[AspAsp]

Добрый день!
Неделю назад при скачивании файла с торрента поймал майнер BtcMine.2733. По симптомам - классика, что неоднократно появлялась на данном форуме. Зависания компьютера примерно раз в 15 секунд, автоматическое закрытие браузеров со страницами, где упоминается об антивирусных программах, типах вирусов, закрытие мониторов ресурсов и проводника при попытке обнаружить эту гадость. По итогу, все стандартное для данного существа - пользователь John, процессы taskhostw.exe и клон taskhost.exe

Найти удалось при помощи Dr.Web CureIt!, здесь полный набор, прикладываю скриншот.

По информации из схожих топиков запустил AVbr в безопасном режиме с поддержкой сети, на данный момент процессы исчезли, фризы прекратились, симптомов не наблюдается.
Также прошелся AutoLogger'ом после перезагрузки в обычном режиме.
Логи работы обеих утилит прикладываю.

Прошу помощи в зачистке вероятного оставшегося мусора от работы майнера.

Заранее, огромное спасибо! Если бы не Ваш форум, то не знал бы в какую сторону двигаться далее.

 

[regist]

Виндоус случаем не сборка?

Профиксите в HijackThis

O4 - HKCU\..\Run: [ConnectDetector] = C:\Users\User\AppData\Roaming\Adobe\Connect\connectdetector.exe (file missing)
O4 - HKCU\..\Run: [utweb] = "C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing)
O4 - MountPoints2: HKCU\..\{46511c58-f5cf-11eb-9164-300ed51303ec}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MSConfig\startupreg: utweb [command] = "C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (HKCU) (2021/09/06) (file missing)

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

 

[AspAsp]

Виндоус случаем не сборка?

Честно говоря, не знаю. Предполагаю, что да, так как компьютер приобретался с уже установленной ОС, в которой были необходимые программы для работы - тот же Офис, как минимум.

Фикс в HijackThis выполнил. Архив с карантином закачал.
По остальным пунктам прикладываю логи.

 

[Sandor]

Далее:
1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  • Сбросить политики IE
  • Сбросить политики Chrome
• Убедитесь, что закрыты все браузеры.
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[regist]

+ добавлю, что у вас несколько важных системных файлов повреждено или отсутствует. Без них нормально система работать не будет.

 

[AspAsp]

+ добавлю, что у вас несколько важных системных файлов повреждено или отсутствует. Без них нормально система работать не будет.

Подскажите, пожалуйста, есть возможность как-то восстановить/заменить/восполнить проблемные файлы без переустановки системы?
На данный момент есть сложности с переустановкой из-за большого числа информации на компьютере.

Логи прикладываю.

 

[regist]

есть возможность как-то восстановить/заменить/восполнить проблемные файлы без переустановки системы?

Конечно есть, просто нужно взять эти файлы с аналогичной системы и заменить у вас. И здесь раздел лечения, а по восстановлению файлов лучше создать отдельную тему в разделе по ОС.

 

[Sandor]

@AspAsp, если ещё актуально, вот ссылка на системный раздел форума.
Там укажите ссылку на эту тему.

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!