Trojan.Win32.Agent.gen. и Trojan.Win32.Miner.vho

[L77S]

Здравствуйте, не могу избавиться от вируса, после сканирования KVRT, вирусы находит, но излечиться не получается, после перезагрузки ничего не меняется, загрузка ЦП 100 %. При запуске скрипта приходилось постоянно закрывать 2 процесса

NT Karnel & System так как именно эти процессы, загружают ЦП, и не давали скрипту завершить свою работу, что бы получить логи.

CollectionLog-2022.06.20-16.20.zip

Изменено 20 июня, 2022 пользователем L77S
Дополнил информацию

[Sandor]

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[L77S]

Готово, и после перезагрузки, пока что ничего лишнего ЦП не нагружает, NT Karnel & System в диспетчере задач не видно.

CollectionLog-2022.06.20-17.55.zip AV_block_remove_2022.06.20-17.52.log

Изменено 20 июня, 2022 пользователем L77S

[Sandor]

Хорошо, продолжаем:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[L77S]

Готово

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3922582933-1519976250-1702863283-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {957E10C9-02C6-4F42-9503-86ED4C120699} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  Task: {C3E6EE34-E5A3-49CE-A3C8-6245258BFC0F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
  2022-06-15 22:05 - 2022-06-20 14:25 - 000000000 ____D C:\KVRT_Data
  2022-06-15 22:04 - 2022-06-20 18:13 - 000000000 __SHD C:\Users\John
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3314]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\PokerStarsSochi.lnk:72DFC5BE9B [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Uninstaller.lnk:0C48161B06 [3314]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk:A70524090E [3314]
  AlternateDataStreams: C:\Users\Max\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Max\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  FirewallRules: [{13BF7111-D113-4B40-9260-429F9478D55E}] => (Allow) LPort=80
  FirewallRules: [{3301B186-05AD-4D07-8A10-0D483009997C}] => (Allow) LPort=443
  FirewallRules: [{9454ED95-B83C-4303-910D-E2580A396E32}] => (Allow) LPort=20010
  FirewallRules: [{7B10B6D7-B999-4BCD-9D0A-1E6EB16CD969}] => (Allow) LPort=3478
  FirewallRules: [{75636880-7FBA-465B-996D-E53D299785FE}] => (Allow) LPort=7850
  FirewallRules: [{79CCB951-3E43-4C50-8509-2DC1864AFBBE}] => (Allow) LPort=7852
  FirewallRules: [{5FDCA485-8F86-4B10-A4BF-B375552837C6}] => (Allow) LPort=7853
  FirewallRules: [{FCAEA006-97CF-44B5-8F3D-5000D7760B44}] => (Allow) LPort=27022
  FirewallRules: [{C09610F1-F119-42CD-B24F-6A1D2CFAB22F}] => (Allow) LPort=6881
  FirewallRules: [{374C696F-3DA8-476B-9335-0CA153BDFE7E}] => (Allow) LPort=33333
  FirewallRules: [{8483A3A3-17C6-48A2-A5D3-3F45A6C667E8}] => (Allow) LPort=20443
  FirewallRules: [{9B54050F-D09E-4E36-94E3-7611BE231768}] => (Allow) LPort=8090
  FirewallRules: [{06CBBD0C-F67D-4BC4-BA01-69EC390E09C2}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{0C5505C5-27BD-4201-8322-304ABAEDD10D}] => (Allow) LPort=32682
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[L77S]

1 час назад, Sandor сказал:

Готово

 

Fixlog.txt

[Sandor]

Достаточно был скрипт выполнить один раз.

Если проблема решена, в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[L77S]

Спасибо огромное за решение данной проблемы, уже хотел винду сносить, что бы избавиться от это гадости)

[Sandor]

Рады были помочь. Отчёт SecurityCheck всё же покажите.

[L77S]

Готово, появилась другая проблема, возможно последтсвия скрипта, когда разворачиваю браузер, программу и т.д из трея, ноутбук начинает подвисать в течение 3 сек. так же через раз появляется надпись :

SecurityCheck.txt

Изменено 21 июня, 2022 пользователем L77S

[Sandor]

20 минут назад, L77S сказал:

возможно последтсвия скрипта

Не думаю. Скрипт ничего подобного не затрагивал.

 

Деинсталлируйте StartIsBack++ и проверьте, сохранится ли эта проблема.