Trojan:Win64/DisguisedXMRigMiner

[rda]

не получается удалить майнер, пытался через FRST, не понял суть)

Trojan:Win64/DisguisedXMRigMiner

Добавил файлы с сканирования FRST

Addition.txt FRST.txt

Изменено 10 января, 2024 пользователем rda

[safety]

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

[rda]

12 часов назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

 

Fixlog.txt

[safety]

Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

[rda]

В антивируснике выдает то что есть вирусы, но удалить их не может. 

CollectionLog-2024.01.12-23.13.zip

[safety]

проверьте даты обнаруженных угроз в дефендере: актуальны или более ранние чем текущая.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[rda]

Суть в чем в антивируснике пишет что есть вирус, но его удалть не может так же дата не меняется вот как нашел он его 02.01 так и висит эта дата, просто пишет что угроза активна

DESKTOP-E5M2NL5_2024-01-13_11-23-50_v4.15.1.7z

[safety]

Это может быть особенностью работы WinDefender, что он показывает все угрозы, обнаруженные за некоторый период.

можно уменьшить этот период.

 

Образ автозапуска проверю, отвечу в следующем сообщении.

 

Попробуйте это решение применить для очистки журналов.

 

Вот что можно сделать:
 

Quote

1. Уменьшить время хранения журнала угроз безопасности Windows.
В PowerShell от имени администратора выполнить:
Set-MpPreference -ScanPurgeItemsAfterDelay X
Где X количество дней хранения журнала.

2. Принудительно очистить журнал:
- отключаем Защиту в реальном времени (Real-Time protection)
- отключаем Облачную защиту (Cloud protection)
- удаляем папку Service
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- включаем Защиту в реальном времени (Real-Time protection)
- включаем Облачную защиту (Cloud protection)

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_FDDB643595E0B8D0\LMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.63\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref {2F603045-309F-11CF-9774-0020AFD0CFF6}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ELECTRONIC ARTS\EA DESKTOP\EA DESKTOP\EABACKGROUNDSERVICE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату.

[rda]

Не могу зайти в данную папку C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service, говорит нет доступа

 

2024-01-13_13-02-48_log.txt

[safety]

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

[rda]

1 минуту назад, safety сказал:

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

Защита отключена, доступ не дает

В Powershell тоже выдает ошибку

 

[safety]

Хорошо, пробуйте по первому пункту поставить вместо X единицу. И завтра можно будет проверить (когда пройдет 1 день) появятся в журнале записи с обнаружением или нет.

7 minutes ago, rda said:

В Powershell тоже выдает ошибку

эту команду выполняли?

Set-MpPreference -ScanPurgeItemsAfterDelay 1

 

[rda]

В Powershell  на 1 тоже выдает ошибку

 

 

[safety]

Можно текст скопировать их окна Powershell?