[РЕШЕНО] Заражение майнером HEUR: Trojan.Scvript.miner.gen

[Tyralion]

Здравствуйте!

 

Подцепил майнер. Не открывался браузер и антивирус. Нашел похожу тему здесь на форуме. Через безопасный режим открыл касперского, просканил, обнаружил троян с именем как в заголовке. Потом через утилиту AVZ удалил неизвестного пользователя John. Вроде как сейчас нагрузки на проц нет, но антивирус почему-то так и не открывается (теперь не вылетает никакой ошибки, просто ничего не происходит). 

 

Можно ли что-то сделать?

Вот отчеты программы AVZ

AV_block_remove_2022.10.19-14.59.log AV_block_remove_2022.10.19-15.01.log

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Tyralion]

Прошу прощения. Автологер скачал, архив прилагаю

CollectionLog-2022.10.19-15.53.zip

[Sandor]

Здравствуйте!

 

 

"Пофиксите" в HijackThis только следующее:

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Tyralion]

Здравствуйте!

 

Почему-то не могу найти эти строки в Hijack (поиск не находит и так вручную тоже не нашел). Я уже после того как выложил первый отчет ещё раз запустил Kaspersky Virus Removal Tool чтобы проверить не найдет ли он ещё вирусов. Я так понял что это было зря и поэтому этих строчек нет? Если это так - мои извинения

 

Прикрепляю отчет который только что сделал.

CollectionLog-2022.10.19-18.38.zip

[Sandor]

А где логи Farbar RST?

[Tyralion]

Прилагаю логи

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {1D2E534F-99F2-4EFC-9CF5-7D98683C473D} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {8B848569-264E-492C-875D-5645FA35BD62} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {9FCD7587-6053-432D-A4CA-DB659D8DE099} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {EA4B43B5-65C5-4A77-BD48-CF991E74BF4B} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://ru.msn.com/?pc=UP21&ocid=UP21DHP&dt=010213"
  C:\Users\Tyralion\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  AlternateDataStreams: C:\ProgramData:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\ProgramData:iSpring Solutions [140]
  AlternateDataStreams: C:\ProgramData:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\All Users:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\Users\All Users:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Все пользователи:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\Все пользователи:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [140]
  AlternateDataStreams: C:\ProgramData\Application Data:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Suite 8 Ru [128]
  AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Presenter 8 Ru [128]
  AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Solutions [140]
  AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Suite 8 Ru [128]
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Tyralion]

Сделано

Fixlog.txt

[Sandor]

5 часов назад, Tyralion сказал:

антивирус почему-то так и не открывается

Сейчас тоже не открывается?

Кстати, он у вас устаревший, актуальная версия 11.10

[Tyralion]

К сожалению, так и не открывается.

 

Точно также при попытке запуска идет какая-то загрузка (рядом с курсором кружок появляется) и потом все.

 

Возможно надо переустановить?

 

[Sandor]

Да, пробуйте сначала деинсталлировать, потом установить. Результат сообщите.

[Tyralion]

Переустановил, теперь запускается!

 

В остальном от всей заразы удалось избавится, как я понимаю?)

 

Огромное спасибо за помощь!

[Sandor]

Да, и в том числе:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Tyralion]

SecurityCheck.txt