Майнер

[Todomi]

Попался майнер. Закрываются программы, браузер, диспетчер задач вырубается. Антивирусы не запускается либо моментально закрываются. Нужна помощь

[thyrex]

Здравствуйте.

Выполните в безопасном режиме Порядок оформления запроса о помощи.

Новую тему создавать не нужно, логи прикрепите к следующему сообщению.

[Todomi]

CollectionLog-2023.09.02-21.53.zipГотово

Изменено 2 сентября, 2023 пользователем Todomi

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe','');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\NetFramework\z10kolSYBM4w7Yk\CheckGlobalA.bat','');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\Microsoft\NetFramework\z10kolSYBM4w7Yk\CheckGlobalA.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalA\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalA\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\CheckGlobalA\z10kolSYBM4w7Yk');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

[Todomi]

готово

AV_block_remove_2023.09.02-22.29.log

[thyrex]

15 минут назад, thyrex сказал:

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Ждем

[Todomi]

CollectionLog-2023.09.02-22.35.zip Тоже готово

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Todomi]

FRST.zip
Вроде так

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-4152032623-1748329455-1963851015-1001\...\Run: [RiotClient] => D:\Game\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
HKU\S-1-5-21-4152032623-1748329455-1963851015-1001\...\Run: [EpicGamesLauncher] => "D:\Game\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent -launchcontext=boot (Нет файла)
2023-09-02 21:05 - 2023-09-02 21:05 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-09-02 17:24 - 2023-09-02 17:24 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Todomi]

готово

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Todomi]

Готово

SecurityCheck.txt

 

Смущает в автозапуске вот этот пункт. Риалтек. его никогда не было тут.

[thyrex]

Это легитим, не имеющий отношения к майнеру.

 

Microsoft OneDrive v.21.220.1024.0005 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.92.0.902.67 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

по возможности исправьте указанное, и на этом закончим