Решена Засадил майнер/вирус, скрывающийся за процессом print.exe

[NameOfCentury]

Добрый день
Уже вторые сутки пытаюсь вывести из системы вирус, который прикидывается процессом print.exe и грузит процессор. Пробовал утилиты, которые были на руках, безрезультатно.
Прикладываю логи:

 

[akok]

Transmission пользуетесь?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files (x86)\HReuCWjxaimU2\toJqgzPTUKYhl.dll', '');
 QuarantineFile('C:\Program Files (x86)\KypIUqUeagMswzwjgbR\NmuFTdI.dll', '');
 QuarantineFile('C:\Program Files (x86)\WctMgKafU\oqzTKh.dll', '');
 QuarantineFile('C:\Program Files (x86)\ZPSkSQzenpoLC\OKgvlxt.dll', '');
 QuarantineFile('C:\ProgramData\rAufNpqofmFSUTVB\gASVKEe.wsf^', '');
 QuarantineFile('C:\Users\SURIK\AppData\Local\Programs\ivanovsasha224\c6c3a5a87b.msi', '');
 DeleteFile('C:\Program Files (x86)\HReuCWjxaimU2\toJqgzPTUKYhl.dll', '64');
 DeleteFile('C:\Program Files (x86)\KypIUqUeagMswzwjgbR\NmuFTdI.dll', '64');
 DeleteFile('C:\Program Files (x86)\WctMgKafU\oqzTKh.dll', '64');
 DeleteFile('C:\Program Files (x86)\ZPSkSQzenpoLC\OKgvlxt.dll', '64');
 DeleteFile('C:\ProgramData\rAufNpqofmFSUTVB\gASVKEe.wsf^', '64');
 DeleteSchedulerTask('EryxZUHalDzju2');
 DeleteSchedulerTask('jVlIUJSAWIPJMw');
 DeleteSchedulerTask('NQCzxjgVtIAmjXypK2');
 DeleteSchedulerTask('TTuukJTJTLhTXCotaUd2');
 DeleteSchedulerTask('ypsuZJSHIeBMQrL2');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[NameOfCentury]

Логи AdwCleaner'а:

 

[Sandor]

Для повторной диагностики запустите снова AutoLogger

То есть, прикрепите новый CollectionLog.

 

[akok]

И нужен лог AdwCleaner[S00].txt

 

[NameOfCentury]

Извиняюсь

 

[NameOfCentury]

@akok, Дело такое, что во время самолечения я использовал AdwCleaner в том числе, но если самый первый лог поможет делу, прикладываю и его:

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

toc
VideoAdsBlocker

Будут сопротивляться, удалите принудительно через Geek Uninstaller


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\SURIK\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFile('C:\Users\SURIK\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFileMask('c:\users\surik\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\surik\appdata\local\programs\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[NameOfCentury]

Отчеты:

 

[Sandor]

Видны следы ещё одного майнера.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы деинсталлируйте дополнительно нежелательную программу

Wise Care 365 6.1.9

Затем удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[NameOfCentury]

Новые отчеты:

 

[Sandor]

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Этот ещё покажите, пожалуйста.

 

[NameOfCentury]

Простите, забыл

 

[Sandor]

Включите защиту от подделки (была выключена майнером)

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {E0634B86-CDB6-4B1C-B2B8-FD101B50517D} - System32\Tasks\AdLock Update Task-S-1-5-21-296519572-1384453368-1023087669-1001 => C:\WINDOWS\System32\msiexec.exe [212992 2022-11-11] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\SURIK\AppData\Local\Programs\ivanovsasha224\c6c3a5a87b.msi" /quiet CHROME=1
  C:\Users\SURIK\AppData\Local\Programs\ivanovsasha224\c6c3a5a87b.msi
  Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  Edge DefaultSearchKeyword: Default -> cdn
  CHR StartupUrls: Default -> "hxxps://www.google.com/", "hxxps://www.google.com/" 
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\SURIK\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
  CHR HKU\S-1-5-21-296519572-1384453368-1023087669-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  C:\Users\SURIK\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\SURIK\AppData\Local\BraveSoftware\Brave-Browser\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
  2023-06-14 07:11 C:\ProgramData\RDP Wrapper
  AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-296519572-1384453368-1023087669-1001\...\{f8d3737a-6606-469c-9a33-a7919a86262b}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [402]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9192]
  AlternateDataStreams: C:\Users\SURIK\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\SURIK\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\SURIK\AppData\Local\Temp:$DATA [16]
  FirewallRules: [{BED88BE2-4D26-43B2-9EA9-6CCA55D8A770}] => (Allow) 㩃啜敳獲卜剕䭉䅜灰慄慴剜慯業杮瑜捯䱜畊ぢ攮數 => Нет файла
  FirewallRules: [{FA3CF395-9237-47BC-88CF-FB8FDBFD7FB8}] => (Allow) 㩃啜敳獲卜剕䭉䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{EAA3DEF6-E215-40B5-9027-63A764AD2F3D}] => (Allow) 㩃啜敳獲卜剕䭉䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{42974E2C-4D89-4700-9837-39F62FC50FFC}] => (Allow) 㩃啜敳獲卜剕䭉䅜灰慄慴剜慯業杮瑜捯卜㌵⸸硥e => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[NameOfCentury]

Логи:

 

[Sandor]

В перечне установленных программ появится скрытая ранее

AdBlock Shield 1.0.0.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

[NameOfCentury]

@Sandor, Удалил, без Гика не обошлось

 

[Sandor]

Хорошо. Ещё видны следы бывших установок BitDefender и Malwarebytes.
Очистите по соотв. инструкции - Чистка системы после некорректного удаления антивируса.

В итоге - как себя сейчас ведёт система?

 

[NameOfCentury]

После удаления Wise оценить положение дел трудно, но если судить по утихшему движу внутри блока — причина создания темы вылечена)
Второй майнер лечил долго и больно, может, год назад. Он мне тогда хосты загадил и обрубил антивирусы. Но после него, видно, осталась куча мусора, на которую я закрыл глаза и забыл. Короче, сильно удивился)
Сейчас всё, вроде, в норме. Огромное вам спасибо!

 

[Sandor]

Отлично!

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.