[РЕШЕНО] Tool.BtcMine.2794 и Troyan.PWS.Stealer.42689

[Jemimma]

Доброго дня!
Сложно сказать, когда система заразилась, но после внезапного отключения интернета (исключительно в браузерах) решила проверить систему через CureIt.
После "лечения" и "удаления", и следующей перезагрузки трояны все равно на своих местах.
Логи прикладываю и заранее спасибо за помощь!

CollectionLog-2025.07.13-23.24.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe');
 QuarantineFile('c:\programdata\winaihservice\winaihservice.exe','');
 DeleteFile('c:\programdata\winaihservice\winaihservice.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64');
 DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Jemimma]

Готово.

quarantine.7z отправила, новые логи во вложении.

CollectionLog-2025.07.13-23.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Jemimma]

Сделала, прикладываю архив. Addition.7z

Изменено Воскресенье в 20:54 пользователем Jemimma

[thyrex]

Все пароли смените.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {E031E4E3-63D4-4766-A517-0A086C7F945C} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  /reporting (Нет файла) <==== ВНИМАНИЕ
Task: {654AB854-C592-4BB0-ADD5-4A1401B8A7F9} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {F67A4A0E-5415-4FFA-987D-635F8608918B} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => C:\Users\Jemm\AppData\Local\Microsoft\OneDrive\25.060.0330.0003\OneDriveLauncher.exe  /startInstances (Нет файла)
ProxyServer: [S-1-5-21-1983496138-3791155819-1600097845-1001] => hxxp://127.0.0.1:12334
C:\Users\MAN-MADE\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
S3 HWiNFO_204; \??\C:\Users\MAN-MADE\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
StartPowershell:
Remove-MpPreference -ExclusionProcess "powershell.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService"
EndPowerShell:
FirewallRules: [{60ee7bec-7985-474d-ab1d-b2733c58582b}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{c3971643-a074-4001-bac3-a6162188893e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
C:\ProgramData\WinAIHService
FirewallRules: [TCP Query User{D7BA02A3-5E12-40AF-8F6C-7F4B47146E01}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{33386CB2-8228-4699-9A0E-9EAE9CC89DD6}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{7C71350B-E396-4B48-833D-CBA9FE153C1F}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла
FirewallRules: [UDP Query User{02AEB187-7252-4548-8F85-C1D0D9434C44}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла
FirewallRules: [{98f46afb-c1d1-4bb7-80f9-c0405afbb4e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{1ff2a4b6-0128-4e58-adae-7d3c23738bb5}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{6e8545b3-53e8-42d7-9223-1eee01049bc1}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{471836aa-0736-4c70-adf2-b5673aaec0a8}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Jemimma]

Готово.Fixlog.7z

[thyrex]

Все пароли смените.

 

Проблема решена?

[Jemimma]

Добрый вечер!

Перезагрузилась, прогнала еще пару раз системные файлы и весь диск целиком через CureIt, виновники не найдены. Пароли меняю.

Спасибо вам огромное за помощь! Просто спасли меня, комп и мою нервную систему!
 

Подскажите, по тому файлу, который я отправила через форму отправки карантина, можно предположить, где я могла подцепить эту дрянь? Или без шансов это выяснить?

[thyrex]

Наверняка, что-то с торрентов качали, там и подцепили.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Jemimma]

Готово, прикрепляю.
 

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

AMD Software v.24.10.34 Внимание! Скачать обновления
NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Discord v.1.0.9189 Внимание! Скачать обновления

 

На этом закончим.
 

[Jemimma]

Спасибо вам большое за помощь!

 

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".