Решена WindowsDriver.exe

[Sandor]

Получил и отправил в вирлаб. Ещё подождите, пожалуйста.

 

[Sandor]

Вы перепаковывали карантин самостоятельно?
В любом случае упакуйте с помощью Winrar файл

C:\PROGRAM FILES\WINDOWS NT\RUNTIMESERVICE\WINDOWSSECURITY.EXE

с паролем virus и отправьте, пожалуйста, на тот же адрес ещё раз.

 

[Fury]

Отправил по новой

 

[Sandor]

Пока не дошло. Проверьте, не "застряла" ли отправка.

 

[Fury]

Мейл говорит что дошло

 

[Sandor]

Пришел архив с тем же именем. Вероятно вы тот же файл еще раз отправили.
Повторю, найдите через Проводник файл

C:\PROGRAM FILES\WINDOWS NT\RUNTIMESERVICE\WINDOWSSECURITY.EXE

и вручную через 7-z упакуйте его с паролем.

 

[Fury]

Запаковал, отправил. Придёт 2 письма, в первом забыл прикрепить файл

 

[Sandor]

Без прикрепленного файла пришло, а второе - пока нет.

 

[Fury]

Если второе письмо так и не дошло, могу попробовать отправить новое

 

[Sandor]

Да, отправьте на всякий случай, т.к. не дошло.

 

[Fury]

Письмо отправил, ожидайте в ближайшее время

 

[Sandor]

Получил ответ из вирлаба

WINDOWSSECURITY.EXE - Trojan.Win32.Agentb.ktja

Выполните скрипт в UVS.

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\WINDOWS NT\RUNTIMESERVICE\WINDOWSSECURITY.EXE
addsgn A7659219B9628B762FD6AEB16437079517CBFC1E2104E087154E719A50D6714C769CCE9F0C149DC0CEDD7B7ECB626FFA2854E5C6679BB0A5C82A5BCE5796B2E3 8 Tr.Agent [Kaspersky] 7

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
chklst
delvir

deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему сообщению.


Ещё один контрольный образ автозапуска uVS подготовьте и прикрепите.

 

[Fury]

Образ автозапуска и результат скрипта ->

 

[Sandor]

Спасибо!
Понаблюдайте некоторое время и сообщите будет ли рецидив.

 

[Fury]

Спасибо вам! Если увижу вновь его, обязательно сообщу.

 

[Sandor]

Если НЕ увидите, тоже сообщите

Утилиты лечения пока не удаляйте, будут еще инструкции.

 

[Fury]

Ещё раз здравствуйте! Прошёл один день и я так и не заметил признаков майнера. Успел несколько раз перезагрузить компьютер и проверить через anvira и диспетчер задач нагрузку на ПК. Всё находится в норме. Также проверил стабильность в различных играх и программах по типу witcher 3. Просадков кадров или фризов я не обнаружил. Спасибо вам!

Что касаемо утилит, они всё также находятся на компьютере

 

[Sandor]

Отлично, спасибо, что сообщили.

Завершаем:

1.
Выполните скрипт в UVS.

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
regt 40
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.


2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Fury]

Выше перечисленное сделал, лог от SecurityCheck =>

 

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.2.0.4 v.7.2.0.4 Внимание! Скачать обновления
Python 3.10.2 (64-bit) v.3.10.2150.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^


Исправьте указанное.

Читайте Рекомендации после удаления вредоносного ПО