[РЕШЕНО] Устранение последствий вирусов Trojan.Win32.Miner.pef и Trojan.Win32.SEPEH.gen

[segeyAA]

Здравствуйте.

 

Еще один компьютер попал под действие данных вирусов, но в этот раз (вроде бы) им не удалось заблокировать KES и он их удалил. По крайней мере полная проверка больше ничего подозрительного не находит. Единственное (из того что заметил), также поломался "Центр обновления Windows". Лог сканирования AutoLogger-а прилагаю.

CollectionLog-2024.04.25-17.06.zip

Изменено 25 апреля, 2024 пользователем segeyAA

[Sandor]

Здравствуйте!

 

А почему собирали логи в безопасном режиме?

Повторите в нормальном и дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[segeyAA]

1 час назад, Sandor сказал:

А почему собирали логи в безопасном режиме?

Перестраховался.

 

1 час назад, Sandor сказал:

Повторите в нормальном и дополнительно:

Сделал, логи прилагаю.

Addition.txt FRST.txt CollectionLog-2024.04.25-19.40.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {B658F3EF-BBEC-4299-9CD8-1D1753420A99} - System32\Tasks\Eventer utilityS-1-5-21-1838952660-3639562710-2657415798-1002 => C:\Users\User\AppData\Local\Mail.Ru\Atom\Application\eventer.exe  (Нет файла) <==== ВНИМАНИЕ
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1538560 2024-04-09] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2024-04-09] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-04-09] (Microsoft Windows -> Microsoft Corporation)
  U3 wuauserv; C:\WINDOWS\system32\svchost.exe [55456 2024-04-09] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  U3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [46544 2024-04-09] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3454976 2024-04-09] (Microsoft Windows -> Microsoft Corporation)
  FirewallRules: [{056FE248-D31E-48FA-A228-0FA0733E4517}] => (Allow) LPort=50248
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Со службами проделайте те же действия, только с файлами из этого архива.

 

После перезагрузки соберите и прикрепите этот отчёт:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[segeyAA]

38 минут назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

38 минут назад, Sandor сказал:

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Прикрепляю.

FSS.txt Fixlog.txt

[Sandor]

Новые логи FRST.txt и Addition.txt покажите, пожалуйста.

[segeyAA]

29 минут назад, Sandor сказал:

Новые логи FRST.txt и Addition.txt покажите, пожалуйста.

Прикладываю.

Addition_new.txt FRST_new.txt

 

 Заметил что из списка служб исчезла "Центр обновления Windows". При попытке поиска обновлений пишет

Цитата

С установкой обновлений возникли некоторые проблемы, но попытка будет повторена позже. Если вы продолжаете видеть это сообщение и хотите получить сведения, выполнив поиск в Интернете или обратившись в службу поддержки, вам может помочь это: (0x80070424)

 

Изменено 25 апреля, 2024 пользователем segeyAA

[Sandor]

Центр обновления так и не работает?

[segeyAA]

9 минут назад, Sandor сказал:

Центр обновления так и не работает?

Сам "Центр обновления" теперь открывается (раньше показывал пустое поле с бегущими сверху точками), но обновления не ищет. При нажатии "Повторить"  то же самое.

Изменено 25 апреля, 2024 пользователем segeyAA

[Sandor]

Вот тут описаны несколько способов решения. Попробуйте их.

[segeyAA]

1 минуту назад, Sandor сказал:

Вот тут описаны несколько способов решения. Попробуйте их.

Уже решил. Запустил "Дополнительные средства устранения неполадок -> Центр обновления Windows" - он сделал исправления и после перезагрузки "Центр обновления" заработал (по крайней мере появилась служба и начали устанавливаться обновления).

[Sandor]

Отлично!

Здесь тоже проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[segeyAA]

53 минуты назад, Sandor сказал:

Прикрепите этот файл к своему следующему сообщению.

Прикрепляю.

SecurityCheck.txt

[Sandor]

Примите к сведению:

 

Kaspersky Endpoint Security for Windows v.11.15.8.493 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31326 v.14.32.31326.0 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
paint.net v.5.0.3 Внимание! Скачать обновления
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Google Chrome v.124.0.6367.78 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.124.0.2478.51
Yandex (All Users) v.24.1.5.803 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На заметку - Рекомендации после удаления вредоносного ПО

[segeyAA]

Спасибо! 👍