[РЕШЕНО] Trojan.Win32.Shellcode.btx попался на майнер

[NotDev]

Доброго времени суток. Помогите пожалуйста. Собственно, скачал с яндекса Notepad++, сайт индексировался выше, чем оригинальный сайт, не заметил этого. Просканировал с помощью ESET и KVRT. Вылечил файлы, отправил с помощью AVZ по данной форме файл Форма отправки карантина, а потом наткнулся на данную тему.
[РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen Помогите удалить, пожалуйста - Помощь в удалении вирусов - Kaspersky Club | Клуб «Лаборатории Касперского»

файлы точно такие же, директории тоже и происходит точно такая же ситуация.
Сам "установочный файл" отправил на any.run, результат можете посмотреть тут
https://app.any.run/tasks/6cc9f3a2-26a3-4175-a5e9-157595baa225

1) AutoLogger - логи с него.
2) Farbar Recovery Scan Tool - так же лог с него.

Шаг с AVZ был пропущен, так как я уже выполнил скрипт и отправил на форму.

CollectionLog-2025.07.06-21.02.zip FRST.zip

[thyrex]

50 минут назад, NotDev сказал:

Помогите пожалуйста

А с чем помочь? Вы же себя профи посчитали и сами решили управиться.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
ProxyServer: [S-1-5-21-182466234-659180651-3946912830-1001] => hxxp://127.0.0.1:12334
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-182466234-659180651-3946912830-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-06-10] (Microsoft Windows -> Microsoft Corporation)
U3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-05-24] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-13] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184704 2025-06-28] (Microsoft Windows -> Microsoft Corporation)
C:\WINDOWS\SysWOW64\version_IObitDel.dll
CustomCLSID: HKU\S-1-5-21-182466234-659180651-3946912830-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
AlternateDataStreams: C:\ProgramData\ace-drc.dat:3A612465FA [5154]
AlternateDataStreams: C:\ProgramData\ace-drc.dat:A0EB9E5270 [5154]
AlternateDataStreams: C:\ProgramData\profile_count_updates.json:97591D8DD9 [6866]
AlternateDataStreams: C:\ProgramData\UpdateLock-updates:152ECEF034 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\O&O ShutUp10 (отключение шпионских функций AntiSpy).lnk:1D13FECCC4 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ExpressVPN.lnk:193B723030 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [6866]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sublime Text.lnk:6273A386FD [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4298]
AlternateDataStreams: C:\Users\Public\Documents\install-log-admin.txt:C78B9AA6F5 [6866]
FirewallRules: [{4DDED8B7-AE9C-458B-B0B7-7CE0B4E5229D}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => No File
FirewallRules: [{E25F2DE4-26E2-4A10-95E6-22FF6DAA6CF1}] => (Allow) c:\program files (x86)\exitlag\exitlag.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[NotDev]

Нет, профи я себя не посчитал. Тело вируса нужно было каким либо образом удалить. Прикрепляю Fixlog

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[NotDev]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Bitwarden v.2025.6.0 Внимание! Скачать обновления
VMware Workstation v.17.5.1 Внимание! Скачать обновления
GitHub Desktop v.3.4.20 Внимание! Скачать обновления
Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Discord v.1.0.9039 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".