Решена Зараженный explorer и подозрение на майнер.

[TheFirstNoob]

Приветствую. У знакомого начались проблемы с плане интернета и случайные провисания ОС. Немного логи посмотрел и там уже видно что сидит. Вероятно еще и RDP машинка тоже заражена, но я еще не успел ее посмотреть.
Посоветовал ему лишний раз не подключаться к RDP и поправил hosts ему чтобы мог логгер запустить и tasks подчистил вроде.
В остальном полагаюсь на вас)

 

[regist]

В итоге взяли и замаскировали вирус . Кроме hosts не надо было остальное трогать. Либо надо было через AVbr пролечить и его лог приложить.
1) Пролечитесь AV block remover (AVbr)
2) Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
 DeleteSchedulerTask('Morgan');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Morgan', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Morgan', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[TheFirstNoob]

Так... по итогу мой товарищ любитель поспешить (видимо на панике сидит или бесится). В общем zip карантин не создался. Только папка по его словам. Может он недождался скрипта.
Как поступить лучше в таком случае?

По словам ПК полегче. 18+ перестала появляться от explorer.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-3106617399-3000712306-3883926475-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe]
  AlternateDataStreams: C:\Users\Morgan:Heroes & Generals [38]
  AlternateDataStreams: C:\Users\Morgan\Application Data:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
  AlternateDataStreams: C:\Users\Morgan\AppData\Roaming:d988fd1ce0beed92b2bcb751f85f2bf5 [394]
  AlternateDataStreams: C:\Users\Morgan\AppData\Local\Temp:$DATA [16]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[TheFirstNoob]

Готово

 

[regist]

Пролечитесь AV block remover (AVbr)

Лог после лечения где? Или не пролечили им?

 

[TheFirstNoob]

Виноват. Забыл запросить. Прислал мне два почему-то.

 

[regist]

Прислал мне два почему-то.

Потому что он не дождавшись окончания его работы запустил его второй раз буквально через 20 секунд. В итоге не понятно, похоже утилита вообще до конца не отработала.
Пусть запустит ещё раз и таки наберётся терпения.

 

[regist]

Хотя возможно дело и не в этом. Напишу в личку.

 

[Sandor]

@TheFirstNoob, как дела? Тему помечаем решенной?

 

[TheFirstNoob]

Человек уехал на время. Так что в целом можно отметить решенной. Все равно он потом решил винду перебивать т.к. мусора много. А что с regist мы отдельно как появляется возможность в ЛС работаем.
Спасибо!