[РЕШЕНО] CoinMiner

[deamonlal]

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги.
Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер.
По запросам в гугле нашел этот форум. Тут  у других людей были похожие проблемы.
Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT
Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи.
прикрепляю файлы Addition.txt и FRST.txt

Файлики.rar

[akoK]

Process Hacker 2 - сами устанавливали?

Порты сами открывали?

FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494

FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494

FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393

Folder: C:\ProgramData\WindowsTask\

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  VirusTotal: C:\Programdata\RealtekHD\taskhostw.exe;C:\Programdata\WindowsTask\winlogon.exe;C:\WINDOWS\system32\Cmeau6620.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
  HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe 
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Task: {F05C6944-E365-4738-963A-555F390DA41E} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
  C:\Programdata\WindowsTask\winlogon.exe
  lternateDataStreams: C:\Users\Hentai\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Hentai\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{F1D1EC42-FF7C-4A81-BD01-36D29BE9A870}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{8724B9E3-DF35-45EA-BF95-266D6C8797FB}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{0CC9E65F-4B21-4F15-9018-8FA0926CF274}] => (Block) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
  FirewallRules: [{02DC165E-7A6F-4D78-915C-FC908A1C5C5D}] => (Allow) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
  FirewallRules: [{8E362100-8B4A-4E53-A74A-4C820BF032C4}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe (Microsoft Corporation -> Microsoft Corporation)
  FirewallRules: [{5B0B072A-4B06-4A89-9B7F-129E42E961F6}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe No File
  FirewallRules: [{97072B1E-E137-43A9-8D48-656ACA0AED07}] => (Allow) E:\Programms\DaVinci\DPDecoder.exe No File
  FirewallRules: [{37665D56-A9D2-4B2A-A8EE-4251E960EF69}] => (Allow) E:\Programms\DaVinci\OxygenPanelDaemon.exe No File
  FirewallRules: [{842036A2-C75C-4A5B-8E7F-061CC760DED2}] => (Allow) E:\Programms\DaVinci\ElementsPanelDaemon.exe No File
  FirewallRules: [{58536F86-C671-487F-88BC-007D915ADF8D}] => (Allow) E:\Programms\DaVinci\TangentPanelDaemon.exe No File
  FirewallRules: [{11F1F0AF-825C-486E-9BE9-2ABD74A010AA}] => (Allow) E:\Programms\DaVinci\EuphonixPanelDaemon.exe No File
  FirewallRules: [{D1DB9765-40D8-4F0C-9D77-1F0489641169}] => (Allow) E:\Programms\DaVinci\JLCooperPanelDaemon.exe No File
  FirewallRules: [{A70A4F29-3382-4B4C-9850-6CA6E4A8E1BC}] => (Allow) E:\Programms\DaVinci\DaVinciPanelDaemon.exe No File
  FirewallRules: [{B8DA4409-421C-4416-88D1-F2B37FF266CD}] => (Allow) E:\Programms\DaVinci\bmdpaneld.exe No File
  FirewallRules: [{6BADDD88-DC10-4F23-995D-ED0B7813584C}] => (Allow) E:\Programms\DaVinci\Resolve.exe No File
  FirewallRules: [{3B566C35-105A-4A78-B468-FAE30E26C292}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{418C57E5-B932-422A-ADAE-9E56CA00903E}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{AA11EFC0-F01E-4411-8A0C-70C7073880AF}] => (Allow) E:\Steam\Steam.exe No File
  FirewallRules: [{86764A41-A72F-4BFE-A568-87AD8C7054AC}] => (Allow) E:\Steam\Steam.exe No File
  FirewallRules: [{7B6AC7E1-C900-4E88-9D85-6C875132F356}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
  FirewallRules: [{0D4D61B5-D3FB-436E-A4D4-48FB5EC44024}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[deamonlal]

Порты пытался открывать, но не эти. Про Process Hacker 2 ничего сказать не могу.
Все сделал. Компьютер перезагрузился. Прикрепляю fixlog.

Fixlog.txt

[akoK]

Тогда закроем эти

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  (Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
  C:\Programdata\RealtekHD\taskhostw.exe
  2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
  2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\ProgramData\RunDLL
  2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
  2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\ProgramData\WindowsTask
  2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
  2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\ProgramData\RealtekHD
  FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
  FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
  FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
  FirewallRules: [{A50254DE-5FE1-4F9C-B13C-73E09FC3BF7B}] => (Allow) LPort=9393
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

После попробуйте собрать логи автологером.

[deamonlal]

AutoLogger запустился, здорово =)
Всё сделано.

Fixlog.txt

CollectionLog-2019.11.17-16.05.zip

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Проверьте, что с проблемой.

[deamonlal]

Всё сделал.
Имя карантин-а(ов):
2019.11.17_quarantine_0044ac851417672f9adec18ca811b164.7z

На все страницы зайти могу, ничего не закрывается. Компьютер перестал тормозить.
Спасибо вам огромное!

[akoK]

Подготовьте лог лог SecurityCheck by glax24 и закройте найденные уязвимости. Изменено 17 ноября, 2019 пользователем akoK

[akoK]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".