[РЕШЕНО] Проверка ПК после вируса Tool.BtcMine.2733, Tojan.Autolt.1224

[PyaST]

Добрый день. Сегодня проверил ПК с помощью утилиты Dr.Web Curelt. Он обнаружил более 10 троянов, после некоторых махинаций удалось большую часть удалось вылечить. Остались только "Tool.BtcMine.2733, Tojan.Autolt.1224" из темы 

Воспользовался утилитой AV block remover и после запустил Autologger. Что-то на ПК еще нужно почистить?

AV_block_remove_2024.01.31-13.04.log CollectionLog-2024.01.31-13.22.zip

[Sandor]

Здравствуйте!

 

Да, есть ещё что чистить.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Adobe Flash Player 10 ActiveX

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe', '');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [BitComet] = "C:\Program Files\BitComet\BitComet.exe" /tray (file missing)
O4 - HKCU\..\Run: [utweb] = "C:\Users\One-Two\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing)
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - KnownFolder: C:\ProgramData\Microsoft\Windows\Start Menu (folder missing)
O7 - KnownFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs (folder missing)
O7 - KnownFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools (folder missing)
O7 - KnownFolder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup (folder missing)
O7 - KnownFolder: C:\ProgramData\Microsoft\Windows\Templates (folder missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorUser] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = (missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = (missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1

Перезагрузите компьютер вручную.

 

 

Для повторной диагностики запустите снова AutoLogger.  Прикрепите новый CollectionLog.

 

[PyaST]

Рекомендации выполнил.

CollectionLog-2024.02.02-12.21.zip

[Sandor]

Хорошо. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[PyaST]

Готово

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {00446CF1-8668-472D-BEDD-D0BB88DBA009} - \Microsoft\Windows\Registry\RegIdleBackup -> Нет файла <==== ВНИМАНИЕ
  Task: {008539BF-83F9-4483-9E0A-EEEE6EAC0A08} - \Microsoft\Windows\Shell\UpdateUserPictureTask -> Нет файла <==== ВНИМАНИЕ
  Task: {117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense -> Нет файла <==== ВНИМАНИЕ
  Task: {12DF3F8A-9612-48CA-AE38-2818FA70CA73} - \Microsoft\Windows\HelloFace\FODCleanupTask -> Нет файла <==== ВНИМАНИЕ
  Task: {1FD2873E-84FC-4CAF-AE91-06A23CD40BD6} - \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner -> Нет файла <==== ВНИМАНИЕ
  Task: {1FDAEDB1-C8AA-43FA-B046-3CDDDA12661E} - \Microsoft\Windows\Time Synchronization\SynchronizeTime -> Нет файла <==== ВНИМАНИЕ
  Task: {21BC5CBD-E20B-4A45-B84C-39C4E785D4E6} - \Microsoft\Windows\Shell\FamilySafetyRefresh -> Нет файла <==== ВНИМАНИЕ
  Task: {293709A0-3365-47BB-AD43-68F365D83AFC} - \Microsoft\Windows\Application Experience\MareBackup -> Нет файла <==== ВНИМАНИЕ
  Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Нет файла <==== ВНИМАНИЕ
  Task: {3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
  Task: {3A6DB6F9-A355-420A-B6E0-7C54D12F4033} - \Microsoft\Windows\NetTrace\GatherNetworkInfo -> Нет файла <==== ВНИМАНИЕ
  Task: {3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
  Task: {3E51A991-10E2-4B16-B5B4-A2F051544BB9} - \Microsoft\Windows\User Profile Service\HiveUploadTask -> Нет файла <==== ВНИМАНИЕ
  Task: {4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan -> Нет файла <==== ВНИМАНИЕ
  Task: {4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask -> Нет файла <==== ВНИМАНИЕ
  Task: {4F2030CE-BA8E-4122-B9A8-29AA5858973E} - \Microsoft\Windows\Flighting\OneSettings\RefreshCache -> Нет файла <==== ВНИМАНИЕ
  Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
  Task: {54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
  Task: {559B0F92-63C4-4001-AE5E-A650091C71B8} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance -> Нет файла <==== ВНИМАНИЕ
  Task: {5E541542-3CC7-4216-B9A8-C6BA34979C00} - \Microsoft\Windows\Registry\OOBE-Maintenance -> Нет файла <==== ВНИМАНИЕ
  Task: {6F063424-E8AD-40FA-92B9-CD047EC2A92A} - \Microsoft\Windows\Maintenance\WinSAT -> Нет файла <==== ВНИМАНИЕ
  Task: {701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask -> Нет файла <==== ВНИМАНИЕ
  Task: {73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
  Task: {7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
  Task: {75A35C91-670A-4071-BB93-066651438E14} - \Microsoft\Windows\Windows Error Reporting\QueueReporting -> Нет файла <==== ВНИМАНИЕ
  Task: {7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload -> Нет файла <==== ВНИМАНИЕ
  Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
  Task: {821D6F9C-BF43-49CB-A3F4-DE4C0EC419E2} - \Microsoft\Windows\Flighting\FeatureConfig\ReconcileFeatures -> Нет файла <==== ВНИМАНИЕ
  Task: {86158314-60CF-4F3F-85B5-2399327EA496} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange -> Нет файла <==== ВНИМАНИЕ
  Task: {92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient -> Нет файла <==== ВНИМАНИЕ
  Task: {935D8DAB-7A3B-437F-BE56-2A18175603E3} - \Microsoft\Windows\Shell\ThemesSyncedImageDownload -> Нет файла <==== ВНИМАНИЕ
  Task: {ADF61F20-211E-49E7-B49D-E1C48085BEAC} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing -> Нет файла <==== ВНИМАНИЕ
  Task: {B11BDA6F-0D93-455B-A6DC-8955BA80DC9B} - \Microsoft\Windows\Live\Roaming\MaintenanceTask -> Нет файла <==== ВНИМАНИЕ
  Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
  Task: {BAEB8762-68E5-400B-B0F5-0C4A00F18093} - \Microsoft\Windows\Offline Files\Logon Synchronization -> Нет файла <==== ВНИМАНИЕ
  Task: {C0E197F6-2E40-46FD-83DA-BE8704EF2CE5} - \Microsoft\Windows\Ras\MobilityManager -> Нет файла <==== ВНИМАНИЕ
  Task: {C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled -> Нет файла <==== ВНИМАНИЕ
  Task: {C4C11C95-C597-4541-B0FF-0FB2C761FC92} - \Microsoft\Windows\Time Zone\SynchronizeTimeZone -> Нет файла <==== ВНИМАНИЕ
  Task: {C616073F-6C0B-47A0-9A54-8D3569BBC011} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting -> Нет файла <==== ВНИМАНИЕ
  Task: {C9ABE41C-5E65-4E52-8BAD-4F1BCA3B5715} - \Microsoft\Windows\AppxDeploymentClient\Pre-staged app cleanup -> Нет файла <==== ВНИМАНИЕ
  Task: {C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics -> Нет файла <==== ВНИМАНИЕ
  Task: {CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask -> Нет файла <==== ВНИМАНИЕ
  Task: {CFF53BF5-3FFB-4F7C-B7FF-68A8D7F37F1D} - \Microsoft\Windows\Live\Roaming\SynchronizeWithStorage -> Нет файла <==== ВНИМАНИЕ
  Task: {D2A0B012-7555-48BE-9345-641EAF585E9F} - \Microsoft\Windows\Offline Files\Background Synchronization -> Нет файла <==== ВНИМАНИЕ
  Task: {D9353C30-D505-4F11-8F95-55F3DDA1E214} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem -> Нет файла <==== ВНИМАНИЕ
  Task: {DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup -> Нет файла <==== ВНИМАНИЕ
  Task: {DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor -> Нет файла <==== ВНИМАНИЕ
  Task: {E32B86AB-ABAA-45A7-9BE7-9BB2E6B7837D} - \Microsoft\Windows\Location\WindowsActionDialog -> Нет файла <==== ВНИМАНИЕ
  Task: {E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - \Microsoft\Windows\Windows Defender\Windows Defender Verification -> Нет файла <==== ВНИМАНИЕ
  Task: {E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask -> Нет файла <==== ВНИМАНИЕ
  Task: {E88D9B2C-DDEA-47B2-9582-085153004DB5} - \Microsoft\Windows\Location\Notifications -> Нет файла <==== ВНИМАНИЕ
  Task: {ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
  Task: {F5E862B9-98AE-458E-BC87-3ED25EFBB4D3} - \Microsoft\Windows\Time Synchronization\ForceSynchronizeTime -> Нет файла <==== ВНИМАНИЕ
  Task: {F8FEDA28-6261-4385-844A-684E6C988577} - \Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2899228793-2878877905-1779397764-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  2024-01-31 15:49 - 2024-01-31 15:51 - 000000000 ____D C:\ProgramData\Transmission
  2024-01-31 15:48 - 2024-01-31 15:51 - 000000000 ____D C:\Users\One-Two\AppData\Local\transmission
  FirewallRules: [{108B568F-FC37-4C6F-9681-315618009144}] => (Block) C:\Windows\system32\regsvr32.exe
  FirewallRules: [{B56DEBC2-62CD-49B4-93BF-4C8153273080}] => (Block) C:\Windows\system32\calc.exe (Microsoft Windows -> Microsoft Corporation)
  FirewallRules: [{8B70DDB3-77B3-465E-A69C-A1A882FF56DD}] => (Block) C:\Windows\system32\mshta.exe (Microsoft Windows -> Microsoft Corporation)
  FirewallRules: [{B230996A-FC19-445F-A7C3-1F6CBE59EA80}] => (Block) C:\Windows\system32\wscript.exe
  FirewallRules: [{73B57858-F7FA-469F-B12D-8B03EAE719A9}] => (Block) C:\Windows\system32\cscript.exe
  FirewallRules: [{3EA83DB1-A602-45FC-92F4-4A582A01C691}] => (Block) C:\Windows\system32\hh.exe => Нет файла
  FirewallRules: [{D6FDD10A-261F-4449-826C-76A5D5EB649B}] => (Allow) C:\Program Files\BitComet\BitComet.exe => Нет файла
  FirewallRules: [{A669B18F-77E0-4D70-BB6C-5D315D939348}] => (Allow) C:\Program Files\BitComet\BitComet.exe => Нет файла
  FirewallRules: [{3A6262CC-DEDA-4A2E-B2DB-9B0265974FDE}] => (Allow) C:\Program Files\BitComet\BitComet.exe => Нет файла
  FirewallRules: [{63844227-71ED-4761-976E-F01722D240EB}] => (Allow) C:\Program Files\BitComet\BitComet.exe => Нет файла
  FirewallRules: [{C5BC12E4-BF26-42F7-A2E7-56DC46CA5F76}] => (Allow) LPort=19595
  FirewallRules: [{F331D4CE-1EE8-46AC-A6CB-B94A224C6F04}] => (Allow) LPort=19595
  FirewallRules: [{43B50CAE-E9A5-417F-B963-50C56A6BEAA4}] => (Allow) LPort=19595
  FirewallRules: [{8BA95234-20E4-4C6A-BAB7-AA36FD3F2D0C}] => (Allow) LPort=19595
  FirewallRules: [{F95CE407-5EA7-40DC-B1B3-167DEBCD2ED4}] => (Allow) LPort=2869
  FirewallRules: [{32D13F6E-C4A4-466D-83BD-2D2144211D71}] => (Allow) LPort=1900
  FirewallRules: [{A6D9B7E9-B536-4DA3-AC22-557F59A2854D}] => (Allow) LPort=22970
  FirewallRules: [{83868154-4030-43FA-967F-D151A711CF8A}] => (Allow) LPort=22970
  FirewallRules: [{101AF0D4-6C13-4FBB-92FD-2E3189CE5544}] => (Allow) LPort=22970
  FirewallRules: [{DDEE6970-4612-44AD-880B-D0C1DC0DB0B0}] => (Allow) LPort=22970
  FirewallRules: [{037B9A1C-E906-4765-8818-0E2BF63E7A34}] => (Allow) BiglyBT.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[PyaST]

Выполнил

Fixlog.txt

[Sandor]

Сделайте контрольную проверку CureIt и сообщите результат.

[PyaST]

Проверил. В карантине нашел 1 вирус. Его можно удалить?

[Sandor]

Можно удалить, но всё равно в конце лечения будут удаляться папки вместе с содержимым.

То, что находится в карантине, не может самостоятельно нанести вред системе.

 

Итак, завершаем:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[PyaST]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

[PyaST]

Обновил Благодарю за оказанную помощь!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".