[РЕШЕНО] Удаление возможного майнера с пк

[КириллС 0]

Здравствуйте. Жил, не тужил, но на днях чуть не взломали вк (несколько попыток входа)

 

Подумал утекли пароли, стал чистить систему. Утилита Kaspersky Removal Tool нашла из серьёзного HEUR:Trojan:Script:Generic в кэше хрома. Удалил.

 

В этот же момент быстрая проверка MicrosoftDefender нашла Trojan:Linux/CoinMiner.O!MTB (файл "system") в папке C\Program Files\qemu\ 
Этот файл поместился в карантин без проблем.

 

А вот Kaspersky Removal Tool нашёл так же в этой папке файлик SystemServices.exe. Определяется как Trojan.Win64.Miner.aljx

 

Пытался удалить, но после удаления, не запускается компьютер. Помог откат. Компьютер запускается, но файл на прежнем месте.

 

Не знаю, как удалить, и стоит ли удалять.
qemu, я так понимаю, установлен у меня из-за того, что когда-то устанавливал Xamarin из VisualStudio - может для эмулирования андройда эта программа установилась.

В процессах служба SystemServices.exe отключена. По ресурсам ничего не грузит. Нагрузка CPU в норме. Не знаю, нужно ли с этим что-то делать? Вирус? Или ложное срабатывание?

 

[КириллС 0]

Вот что происходило на момент сканирования.
MediaGet и ProcessHacker оставил
 

 

После этого система перестала загружаться. Помог откат, файл восстановился.

 

Вот что сейчас в реестре по этому значению:



Сканирование Malwarebytes выдаёт и предлагает то же самое. 

 

Система и CPU вроде в норме:

 

 

 

Думаю, стоит сказать, что я убрал галочку автозапуска для SystemService.exe (Изначально стояла, но я не замечал, чтобы компьютер глючил)

 

 

Если это системная служба, то что она делает в папке qemu?

 

 

Буду благодарен за любую помощь

 

 

Вот, кстати, что сделал MicrosoftDefender во время сканирования Касперским.

 

Изменено 28 января, 2021 пользователем КириллС
Добавил скриншотов

[thyrex 1 468]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[КириллС 0]

Понял. Вот, пожалуйста

CollectionLog-2021.01.29-16.18.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[КириллС 0]

ГотовоFRSTscan.rar

[thyrex 1 468]

MediaGet удалите через Установку программ

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {DD8E3C96-C721-4029-B43C-4CFA65324B8B} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [140]
File: C:\Program Files\qemu\SystemServices.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[КириллС 0]

Готово. 

Перезагрузка, которая началась после скрипта, почему-то зависла и оказалась бесконечной. Подождал какое-то время и перезагрузил принудительно. Вот логи:

Fixlog.txt 


PS. может это стоит внимания - винда у меня стоит нелицензионная, приходится раз в пару месяцев активировать с помощью KMS, чтобы не мешала надпись. Может это влияет. Спасибо за помощь. Жду дальнейших рекомендаций

Изменено 30 января, 2021 пользователем КириллС

[thyrex 1 468]

Попробуйте загрузить систему в безопасном режиме, загрузить C:\Program Files\qemu\SystemServices.exe для проверки на virustotal.com и прислать ссылку на результат проверки.

[КириллС 0]

Пожалуйста:

https://www.virustotal.com/gui/file/c7bb9de918938658d5ef03d01b4d71b97d778ca63c4a07d70fecaa75fce04665/detection

[thyrex 1 468]

1. Выделите следующий код:

Start::
CreateRestorePoint:
S4 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] (Access Denied)  [File not signed] <==== ATTENTION
C:\Program Files\qemu\SystemServices.exe
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[КириллС 0]

Fixlog.txt

 

Файла на прежнем месте больше нет! Система перезагрузилась нормально и работает! Кажется, работа завершена? Что это - правда был вирус? Почему тогда не грузилась система? 

Могу ли я считать эту угрозу устранённой?

[thyrex 1 468]

7 часов назад, КириллС сказал:

Что это - правда был вирус? Почему тогда не грузилась система? 

Вирус. Видимо при удалении не очищались записи о службе, что и приводило к проблеме с загрузкой.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[КириллС 0]

Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 04.02.2021 13:23:21
Path starting: C:\Users\Kis\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Kis
VersionXML: 8.51is-03.02.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) CoreSingleLanguage Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 16.10.2020 13:46:24
Статус лицензии: Windows(R), Core edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [118.2 Гб] Занято: [105.1 Гб] Свободно: [13.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления
Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039
-------------------------- [ SecurityUtilities ] --------------------------
Process Hacker 2.39 (r124) v.2.39.0.124
Eraser 6.2.0.2991 v.6.2.2991
Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.21.0 v.2.21.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
Backup and Sync from Google v.3.54.3529.0458
Node.js v.14.15.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления
Microsoft OneDrive v.20.201.1005.0009
Microsoft Visual Studio Code (User) v.1.52.1
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
XnView 2.49.2 v.2.49.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309
Zoom v.5.4.6 (59296.1207) Внимание! Скачать обновления
Viber v.13.3.1.21 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe).
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.146
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
fastback Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.10.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

 

[thyrex 1 468]

Выполните рекомендации из лога SecurityCheck по обновлениям программ и удалению нежелательных программ, и на этом закончим.