[РЕШЕНО] Лечение майнеров RiskTool.Win32.BitCoinMiner.omqt, UDS:Trojan.Win32.Miner.bbyol, HEUR:Trojan.Script.Miner.gen

[Сергей Гусаков]

Здравствуйте!
Прошу помочь в лечении системы от вирусов. Вчера столкнулся с майнерами, каюсь, потерял бдительность, загрузил непроверенное ПО. Спустя пару часов обнаружил, вирусы через Windows Task и RealtekHD (Taskhost.exe), а также AMD.exe, закрывали поиск утилит через браузер (сперва пробовал найти CureIt), а также закрывали диспетчер задач при попытке "убивать" процессы, вызывающие подозрения. В Windows Defender'е появились не вносимые мной исключения, которые нельзя убрать, скрытые папки на большую часть антивирусных систем с доступом от несуществующих пользователей с особыми разрешениями, и, как вишенка на торте, блокируется запуск любых антивирусных утилит с ошибкой "Ограничения" - "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору."
Через Edge удалось скачать и запустить (нажал "Открыть" вместо "Сохранить" в контекстном меню) CureIt, обнаружил вирусы, но лечение после диагностики не удалось - выбило синий экран. На форумах нашел информацию о KVRT, так же загрузил - утилита отправила вирусы в карантин. После этого загрузил Kaspersky Anti-Virus и AdGuard. Последующие сканирования ничего не обнаружили, однако проблемы с блокированием запуска утилит, неудаляемыми исключениями Defender'а и скрытыми папками в AppData и просто на диске C остаются.
Во вложениях логи CureIt, KVRT и AutoLogger.
Очень надеюсь на вашу помощь.

CollectionLog-2022.08.07-08.07.zip Reports.rar cureit.rar

Изменено 6 августа, 2022 пользователем Сергей Гусаков
Грамматика

[thyrex]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Сергей Гусаков]

AV_block_remove_2022.08.07-18.25.logCollectionLog-2022.08.07-18.54.zip
Файлы утилит пропускает, удалил лже-учетную запись.
 

[thyrex]

Попробуйте в обычном режиме собрать такой лог.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Сергей Гусаков]

Documents.rar
Вот, что получилось.

 

 

1 час назад, Сергей Гусаков сказал:

Documents.rar
Вот, что получилось.

 

Добавлю, что осталась проблема с исключениями в Windows Defender.

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {21428ABD-18A1-4503-8FBD-0B96A625282A} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
Task: {25BB470D-9651-4216-93AA-901E9735CB5D} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
Task: {4F38E3ED-820F-4989-927A-38593AF66ADC} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {DE77AF78-4A93-4D54-A96F-FCCA588EBD61} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Unlock: C:\Config.Msi
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Сергей Гусаков]

Fixlog.txt
Получилось зачистить оставшиеся исключения Defender'а.

Fixlog.txt

[thyrex]

Проблема решена?

[Сергей Гусаков]

Думаю, да. По крайней мере пока не наткнулся на какие-либо еще остатки майнера. Подскажите, пожалуйста, нужно ли что-то предпринимать с вирусом в карантине? Можно ли его оттуда удалять?

[thyrex]

Из карантина можете удалять.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Сергей Гусаков]

SecurityCheck.txt
Вроде бы все хорошо. Огромное спасибо за скорую и квалифицированную помощь.

[thyrex]

Цитата

Microsoft Office Professional Plus 2019 - en-us v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Обновите по возможности, и на этом закончим.

[Сергей Гусаков]

Спасибо!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".