Удаление скрытого майнера

[Олег Степаненков]

Приветствую!

Подхватил скрытый майнер. Вроде бы всё удалил, сначала вручную, потом воспользовался программами:

-Web CureIt!

-Kaspersky Virus Removal Tool;

-COMODO Cleaning Essentials;

-Junkware Removal Tool;

 

Каждая выдавала какие-то подозрительные файлы, с ними тоже разобрался.

 

Хотелось бы удостовериться, что майнер был удален полностью.

В прикреплении находится лог программы AutoLogger

CollectionLog-2017.12.03-02.14.zip

[regist]

0)

 

-Junkware Removal Tool;

Вообще не советую ей пользоваться.

Имеет очень много фолсов. Удаляет всё что ей не понравится сразу и безвозвратно. А сейчас разработка этой утилиты вообще прекращена.

 

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

3) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: [CyberGhost] C:\Program Files\CyberGhost 6\CyberGhost.exe /autostart /min (file missing) (HKCU) (2017/02/24)
O4 - MSConfig\startupreg: [autoDENGI] C:\Users\Oleg\AppData\Local\autoDENGI App\autoDENGI.exe (file missing) (HKCU) (2017/01/12)
O22 - Task (Ready): \Lenovo\Lenovo Customer Feedback Program 64 35 - C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe (file missing)
O22 - Task (Ready): \Systasks\ServiceRun - C:\ProgramData\SystemIdle.exe (file missing)
O22 - Task (Ready): \System\SecurityServiceUpdate - C:\Users\Oleg\AppData\Roaming\Windows\Bot.exe (file missing)

 

4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

 

[Олег Степаненков]

0) ну что сделано, то сделано. взад ничего не вернуть

 

1) не загружает архив через форму. попробую завтра утром еще раз загрузить.

Скрин:

 

 

2) отчет ClearLNK прикрепил

3) пофиксил, все строки были
после перезагрузился

4) отчет в прикрепе

ClearLNK-03.12.2017_22-58.log

malware.txt

[regist]

Удалите в MBAM всё кроме

RiskWare.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\TNod, Проигнорировано пользователем, [387], [352776],1.0.3402
Trojan.Agent, C:\WINDOWS\LOADER.EXE, Проигнорировано пользователем, [18], [207332],1.0.3402
RiskWare.Agent, C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE, Проигнорировано пользователем, [387], [352776],1.0.3402
Generic.Malware/Suspicious, C:\PROGRAM FILES (X86)\MIX POSTER\MIX POSTER V6.0.0.1 LOADER_H.EXE, Проигнорировано пользователем, [0], [392686],1.0.3402

Если

C:\PROGRAM FILES (X86)\MIX POSTER\MIX POSTER V6.0.0.1 LOADER_H.EXE

не знаком, то его тоже удалить.

е загружает архив через форму. попробую завтра утром еще раз загрузить.

попробуйте сюда загрузить http://avz.safezone.cc/(правда отчёта по файлу тогда не будет).

[Олег Степаненков]

Удалил в Malwarebytes всё, кроме указанных.

 

 

е загружает архив через форму. попробую завтра утром еще раз загрузить.

попробуйте сюда загрузить http://avz.safezone.cc/(правда отчёта по файлу тогда не будет).

 

 

Сведения о файле:

Размер файла, байт: 30120603 MD5: D76BC5C1E28EDA626BD24440375F9C8F

Файл успешно загружен и поставлен в очередь на обработку, спасибо!

[regist]

Деинсталийте MBAM.

 

Выполните скрипт в AVZ при наличии доступа в интернет:
 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

Изменено 4 декабря, 2017 пользователем regist

[Олег Степаненков]

MBAM удалил, из рекомендаций ещё прошелся mbam-clean

 

через скрипт авз поставил все обновления.

еще с рекомендаций скачал SecurityCheck, там тоже кое что обновил.

 

на этом всё?

[regist]

 

 

на этом всё?

да.