Прошу помощи с удалением майнера

[nDaDe]

Добрый день.

 

При запуске возникает нагрузка на процессор 100%, при запуске taskmgr она пропадает, закрываешь и все заново.

В системе установлен Касперский, но он не может найти вирус полностью.

Утилитами проверял в безопасном режиме, они находили WmiPrvSF.exe, он удалялся и через непродолжительное время все повторялось.

Логи собирал 19-01-25, уехал в командировку не успел создать тему. Компьютер с того времени еще не включался.

Был бы признателен в помощи.

CollectionLog-2025.01.19-20.37.zip FRST.txt

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Media\Update\updatem.exe','');
 QuarantineFile('C:\Windows\Microsoft.NET\assembly\regasm.exe','');
 TerminateProcessByName('c:\windows\wmiprvsf.exe');
 QuarantineFile('c:\windows\wmiprvsf.exe','');
 QuarantineFile('C:\Windows\Logs\WMIADAP.vbs','');
 DeleteFile('C:\Windows\Logs\WMIADAP.vbs','64');
 DeleteSchedulerTask('Microsoft\Windows\Diagnosis\WinLogService');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\UpdateMedia');
 DeleteSchedulerTask('Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask');
 DeleteFile('c:\windows\wmiprvsf.exe','32');
 DeleteFile('C:\Windows\Microsoft.NET\assembly\regasm.exe','64');
 DeleteFile('C:\Windows\Media\Update\updatem.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[nDaDe]

Письмо с карантинным файлом скинул.

Скрипт повторно не удается запустить из-за AVZ, там проблема с получением обновлений.

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[nDaDe]

FRST.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-435038274-510886600-2605603629-500\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-435038274-510886600-2605603629-500\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
Task: {71E34E67-DF04-4B8A-BEA9-67AFCA096D29} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
Task: {6C488708-8266-48BB-A186-16E92919A895} - System32\Tasks\Opera scheduled Autoupdate 1628438843 => C:\Users\Rabbit\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
Folder: C:\Windows\Media
Folder: C:\Windows\Logs
FirewallRules: [{446CEA2E-E4BC-441A-B595-B3C3FA6B2441}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{D3BEE617-07C0-4E7C-8911-388FEEDA2085}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{ED5F919C-580E-4DE6-A23F-E773944DF8FD}] => (Allow) LPort=2869
FirewallRules: [{2376EEB9-FA40-41D8-BE25-D68E0138E684}] => (Allow) LPort=1900
FirewallRules: [{C2ACDE64-62B0-4070-9CB9-F8686F679274}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex4\kryptex4.exe => Нет файла
FirewallRules: [{1B02FC61-5504-4817-ADF9-53D950DC6BFD}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex3\kryptex3.exe => Нет файла
FirewallRules: [{D1EE42E7-7D2D-4C3A-B584-52CA3D37A41D}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex5\WinRing0x64.sys => Нет файла
FirewallRules: [{5983C344-3D22-4593-AEF8-953E258F68E0}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex7\EIO.exe => Нет файла
FirewallRules: [{3AC1DF4F-4A3D-48E5-A989-1FF0F8D37264}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex7\IOMap64.sys => Нет файла
FirewallRules: [{65224224-435D-47CE-8488-F4B515EDE0C7}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex0\kryptex0_100.exe => Нет файла
FirewallRules: [{A7335BBF-7703-40DF-A20C-E0A791F7529B}] => (Block) C:\Users\Rabbit\AppData\Local\Programs\kryptex-app\Kryptex.exe => Нет файла
FirewallRules: [TCP Query User{B1C940D3-F767-493F-9771-09AB9F1BE996}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{3652C82E-7B95-4955-B597-20398CD623BE}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{FA4BEDE3-6E74-44F7-904D-969B674F9627}] => (Allow) C:\Users\Rabbit\AppData\Local\Programs\Opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [{4B446716-FCFA-480C-9A97-7B235F4A1480}] => (Allow) C:\Windows\ehome\MsMediaCenter\wmserver.exe => Нет файла
FirewallRules: [{FF9FBD09-6A42-4EF0-9F44-34684378E140}] => (Allow) LPort=3389
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[nDaDe]

Fixlog.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
C:\Windows\Logs\scrcons.cmd
C:\Windows\Logs\wbemtest.cmd
C:\Windows\Logs\wbemtest.vbs
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[nDaDe]

Fixlog4.txt

[thyrex]

Проблема решена?