[РЕШЕНО] NET:MALWARE.URL tool.btcmine.2711

[Andrew99]

Обычно я очень аккуратен, но вот первый раз в жизни словил серьезный вирус, до этого максимум трояны раз в несколько лет. Видел уже точно такую же ситуацию на этом форуме от пользователя Tossik. В целом почти все как у него. Не открываются сайты с антивирусом. С трудом скачал dr.web curelt. Было обнаружено NET:MALWARE.URL tool.btcmine.2711 от MicrosoftHost.exe. С tool.btcmine.2711 происходит перемещение в карантин , с NET:MALWARE.URL ошибка лечения . После перезагрузки все по новой. Через какое то время после открытия закрывается диспетчер задач. Сразу же закрывается папка ProgramData. Как я понимаю, вирус находится именно там в папке WindowsTask, судя по результатам Dr. Web. Переустанавливать Windows очень не хочется, потому что придется под чистую форматировать оба диска, а на жестком у меня очень важные данные по работе. Не знаю, стоило ли вообще создавать новую тему, или сделать все как было в теме Tossik. Наверное двух полностью одинаковых ситуаций не бывает. Сбор логов проводил в безопасном режиме с поддержкой сетевых драйверов

CollectionLog-2023.06.03-10.15.zip

Изменено 3 июня, 2023 пользователем Andrew99

[thyrex]

Скачайте AV block remover.
Распакуйте (но не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, напри-мер, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

[Andrew99]

CollectionLog-2023.06.03-11.37.zip AV_block_remove_2023.06.03-11.27.log

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
O22 - Tasks_Migrated: (damaged) OneDrive Standalone Update Task-S-1-5-21-2982222441-3591965669-1640925541-1007 - C:\Users\Drohne\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) (user missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser - C:\WINDOWS\System32\MbaeParserTask.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\BackgroundUploadTask - {59B9640B-3F70-4D1C-B159-F26EEB8A4C87} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\SettingSync\NetworkStateChangeTask - {A4173A49-F373-4475-9A0F-2D615204DC20} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2209.7-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Andrew99]

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2982222441-3591965669-1640925541-1001\...\Run: [YandexBrowserAutoLaunch_A41941752DEE82EA68D830F728A18841] => "C:\Users\Drohne\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {02B950CF-614B-4133-9BD7-702AC67AEBB1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {087D7520-5CFA-4D9E-B023-B6BFA1E4B5A7} - System32\Tasks\TaskbarX => X:\Drohne\панель задач\TaskbarX.exe  -tbs=0 -color=0;0;0;50 -as=cubiceaseinout -obas=cubiceaseinout -asp=300 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -cpo=1 -ftotc=1 (Нет файла)
Task: {51150A85-0945-46E6-94A8-B534416FFEFF} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2982222441-3591965669-1640925541-1007 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла)
Task: {A807675E-6C65-465C-A419-D333232154B1} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {BABF0BA6-FB0F-4B98-88C1-DCF1783651BC} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {D34C06EF-E3AC-41FD-B08A-1B1C52F12568} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2982222441-3591965669-1640925541-1007 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2023-06-01 21:53 - 2023-06-01 21:53 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-06-01 21:53 - 2023-06-01 21:53 - 000000000 __SHD C:\Program Files\RogueKiller
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\AMD:err [1530]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjhhqkh [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjihljp [0]
AlternateDataStreams: C:\Users\Drohne\Application Data:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Drohne\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7962]
FirewallRules: [UDP Query User{98819BCE-2DA6-4FFF-B135-767DEEC9E404}C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{36616AAC-6F71-4C5B-8374-5E6C27AAF063}C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe] => (Allow) C:\program files\epic games\fortnite\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [UDP Query User{157CD821-E2FB-4F5B-90D0-83144D8C5DF4}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{DDBB8B56-CAA4-4BFB-B869-75F86175DF8A}C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) C:\program files\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [{AA169DFA-2BE6-4120-9DAC-ADEA9F8720D1}] => (Allow) C:\Users\Drohne\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{2103AA71-D97D-4C22-9A64-5DB63E8412FD}] => (Allow) C:\Users\Drohne\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{AABA81A0-C01D-46D5-BA23-BF8B7475310B}C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{CB51D63C-6F72-4E40-BD73-9EBE8B84C4C1}C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe] => (Allow) C:\users\drohne\appdata\roaming\utorrent\updates\utorrent.exe => Нет файла
FirewallRules: [{02A5F108-E7E7-4ECE-AEDB-BFF5CBD94F05}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{53A3C6A5-506B-4B96-9391-C347572CA2CF}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{ED607797-CDBF-4DCA-ABAE-EBD9A1FDF5F5}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{8D11F713-D904-4FD0-ACD4-194AB8F2A0F2}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{2AFCBCC6-5435-4C31-A894-DA806C1EF8C2}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{82661907-8E06-4DCD-B746-F3DBB46DB508}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{CC4D7C11-AB31-4509-96E4-E55D97F1350A}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{90EBB7A5-41E8-4A88-AE81-621629FBC164}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{CF69EFED-2A48-45B6-95C3-2164FB22AC9B}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{7FB8515C-6565-47C0-AA5C-D90445C61F35}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{EAA22626-E00A-47CD-8335-03ABBFAE571D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALaunchHelper.exe => Нет файла
FirewallRules: [TCP Query User{EADC6820-54FB-44B4-8E49-D69D44286455}C:\program files\ea games\fifa 18\fifa18.exe] => (Allow) C:\program files\ea games\fifa 18\fifa18.exe => Нет файла
FirewallRules: [UDP Query User{6E87663C-0EE1-4B7F-AF68-EAFF1DE8AAA3}C:\program files\ea games\fifa 18\fifa18.exe] => (Allow) C:\program files\ea games\fifa 18\fifa18.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Andrew99]

Fixlog.txt

[thyrex]

Проблема решена?

[Andrew99]

Да, спасибо большое, по сути она была решена еще после avbr. Я уже мог зайти с браузера на этот форум, а сейчас судя по всему были стерты все следы присутствия майнера. Очень вам благодарен, огромное спасибо! Вы настоящий профессионал!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Andrew99]

SecurityCheck.txt

[thyrex]

--------------------------- [ OtherUtilities ] ----------------------------

AMD Software v.20.45.36 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.0.5 Basic v.16.0.5 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

по возможности исправьте указанное, и на этом закончим

[Andrew99]

Хорошо, исправлю, спасибо вам огромное еще раз, могу я отблагодарить вас как нибудь денежным переводом?)

[thyrex]

Не стоит. Помощь в разделе оказывается добровольно.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".