[РЕШЕНО] Лечение майнеров RiskTool.Win32.BitCoinMiner.omqt, UDS:Trojan.Win32.Miner.bbyol, HEUR:Trojan.Script.Miner.gen

[3545firego]

Добрый день. Забылся, что у меня нет антивируса на ПК. Из-за необходимости по работе лазил по разным сайтам, проверял много чего. Как итог: нахватался кучи вирусов. До такого состояния, что антивирусы не мог ни скачать, ни установить.

Кое-как спас Kaspersky Virus Removal Tool. Однако, он нашёл 5 майнеров которые удалить не смог.

 

Вот ссылка на тему, которая мне почти помогла: https://forum.kasperskyclub.ru/topic/176865-resheno-lechenie-majnerov-risktoolwin32bitcoinmineromqt-udstrojanwin32minerbbyol-heurtrojanscriptminergen/

Я застрял на этапе с FRST. Требуется помощь с тем, какой код и куда вставлять.

 

Дополнительно прилагаю с FRST последние сканы.

Систему подчистил, использовав 3 раза KVRT. По сути, остались одни майнеры. Ставить антивирус касперского сразу не стал, чтобы другие утилиты не шалили.

 

 

FRSTPlusAddition.rar

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[3545firego]

CollectionLog-2023.01.21-21.44.zip Вот, дополнительно прикрепляю ещё автологгера

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Ultimate Eraser Update Task-S-1-5-21-743808302-1586529477-580530747-1001');
 DeleteFile('C:\Users\LittleFlame\AppData\Local\Programs\asevcuk865\a2ef3badda.msi','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O22 - Tasks_Migrated: (disabled) \S-1-5-21-743808302-1586529477-580530747-1001\DataSenseLiveTileTask - C:\WINDOWS\System32\DataUsageLiveTileTask.exe
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (file missing)
O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload (file missing)
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe
O22 - Tasks_Migrated: \cFos\Registration Tasks\Open Browser - c:\users\littleflame\appdata\local\programs\opera gx\launcher.exe "https://www.cfos.de/ru/cfosspeed/documentation/status.htm?sw-11.06.2462&days=30" (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)
O22 - Tasks_Migrated: AdobeGCInvoker-1.0 - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe -mode=scheduled
O22 - Tasks_Migrated: DriverToolkit Autorun - B:\Program Files (x86)\DriverToolkit\DriverToolkit.exe --autorun (file missing)
O22 - Tasks_Migrated: NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log
O22 - Tasks_Migrated: NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log
O22 - Tasks_Migrated: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe
O22 - Tasks_Migrated: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler
O22 - Tasks_Migrated: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
O22 - Tasks_Migrated: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe
O22 - Tasks_Migrated: Opera GX scheduled assistant Autoupdate 1614954134 - C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\assistant" $(Arg0) (file missing)
O22 - Tasks_Migrated: Opera GX scheduled Autoupdate 1607468784 - C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Изменено 22 января, 2023 пользователем Sandor
Поправил скрипт

[3545firego]

При попытке выполнить самый первый скрипт, что вы мне дали, AVZ пишет: Ошибка скрипта: ';' expected, позиция [10:6] (В строчке a.msi) после последней буквы жалуется, что чего-то не хватает

[3545firego]

По-прежнему ни в какую не могу запустить скрипт. Ошибка та же и ничего поделать не получается. Вставляемые значения успеха не приносят...

[Sandor]

Поправил, выполняйте.

[3545firego]

Когда активировал первый скрипт: он не совсем адекватно заработал. Вместо того, чтобы появилось табло с "скрипт выполнен без ошибок" АВЗ вырубился. Просто закрылся спустя какое-то время. При попытке открыть его или сделать что-либо - доступ был заблокирован.

Касперский антивирус обнаружил майнер, попытался его вылечить, и ПК в итоге перезагрузился. Попытался сделать всё через безопасный режим+сеть, но успех такой себе. Непонятный. В конце скрипта ПК начал перезагружаться, но словил синий экран смерти. Второй скрипт и HiJack отработали без проблем.

 

В конце концов касперский всё ещё видел майнер, и порекомендовал мне его удалить, что я и сделал. Прилагаю новый лог:

CollectionLog-2023.01.22-17.36.zip

 

 

Выключил касперский, повторил действия. Прилагаю:
 

Результат загрузки:

3545firego, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2023.01.22_quarantine_5892911de91eedab1926941e99e74c3f.7z
CollectionLog-2023.01.22-21.17.zip Вот свежий лог после повтора процедуры (успешной, на этот раз)

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[3545firego]

winrar.rarПрилагаю

 

 

Хочу добавить, что заметил как снизилась работа интернета. Стало подолгу всё и везде грузить: игры, браузер, сайты. Пинг в дискорде начал держаться от 200 минимум

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {21C25DB1-A1A0-43FC-BB29-3A1EF9B86DA0} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {50750642-A6F0-4403-9CD1-35FE513440FF} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {77C88305-8E8E-42E9-80D9-9F064B0CB4FE} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
  Task: {82A50724-97D2-426B-B2AC-29C6D942B6A7} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
  Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd]
  S2 Transmission; C:\Users\LittleFlame\AppData\Local\Programs\Transmission\transmission-qt.exe [1558232 2022-09-25] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
  C:\Users\LittleFlame\AppData\Local\Programs\Transmission\
  AlternateDataStreams: C:\ProgramData:err [1710]
  AlternateDataStreams: C:\WINDOWS\tracing:? [16]
  AlternateDataStreams: C:\Users\All Users:err [1710]
  AlternateDataStreams: C:\Users\Все пользователи:err [1710]
  AlternateDataStreams: C:\ProgramData\Application Data:err [1710]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [868]
  AlternateDataStreams: C:\Users\LittleFlame\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\LittleFlame\Application Data:4e35b1dc8c9945c0350efa7d3f4e737d [394]
  AlternateDataStreams: C:\Users\LittleFlame\Application Data:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:4e35b1dc8c9945c0350efa7d3f4e737d [394]
  AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5028]
  FirewallRules: [{97DB4621-7319-4E71-A3B7-B3CC0E70475D}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯桜則ㅗ攮數 => Нет файла
  FirewallRules: [{CDBF70B8-7DC3-40B5-9780-07116ABDECBE}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{B9B0F98B-5FB5-4652-800C-C113EE806639}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{1F96947E-D687-4949-9747-C0BB71CADA53}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯乜硸⹌硥e => Нет файла
  FirewallRules: [{02666379-990E-42A1-B467-D3ACB89628EB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{2CBD2003-45E7-4FF3-BFAE-3975F69D5447}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{994F028F-D196-466D-9A88-287FA5B244D4}] => (Block) LPort=445
  FirewallRules: [{3C2A1EE0-4E3F-4461-8102-1A4A58CBBF7C}] => (Block) LPort=445
  FirewallRules: [{06D7D803-46DC-49D4-9A08-D43B62007E65}] => (Block) LPort=139
  FirewallRules: [{50B4D448-E25D-402E-A47D-3E0DA2292A60}] => (Block) LPort=139
  FirewallRules: [{03B71AB2-9315-4C66-B5BA-53F0513FD993}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{C0156F25-AAC7-4A72-838B-42C67A37C493}] => (Allow) LPort=3389
  cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

[3545firego]

Всё выполнил, прилагаю ещё информацию:

Fixlog.txt

[Sandor]

Хорошо. Что сейчас с проблемой?

[3545firego]

Касперский ничего не видит, ПК работает быстро. С интернетом разобрался, скидывал параметры. Стало чутка лучше, но оставшаяся проблема осталась на стороне роутера.

Вроде бы всё, но может могу что-то упускать?

[Sandor]

1 минуту назад, 3545firego сказал:

проблема осталась на стороне роутера

Поясните, пожалуйста, что это значит?