[РЕШЕНО] Не могу избавиться от CoinMiner.kurgy

[Microrisk]

Здравствуйте.

Примерно месяц назад процесс из папки Flock начал на 100% грузить процессор, убивал процесс через диспетчер задач, процессор успокаивался.

Некоторое время назад мой антивиру Avira при запуске компьютера сразу отправлял в карантин файл из папки ProgramData (прикрепляю скрин, что показывает Avira). Я проходил по пути, что показывал мне антивирус и полностью удалял папку Flock и вычищал корзину, но при следующем запуске системы эта папка вновь появляется там же.

Прикрепляю CollectionLog

CollectionLog-2021.02.11-19.49.zip

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03BC8F56-3F9D-41E6-935D-02B489D1D69A} - \ServiceCheck_10 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03F300FE-06D7-411B-BDDE-8F40D3C53EEE} - \ServiceCheck_23 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07229653-2ADE-4325-8B05-5BA23E8D8F45} - \ServiceCheck_21 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34690D2F-F688-4D24-B108-BF95E04475AF} - \ServiceCheck_9 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{414458BD-785B-4EC5-9F64-391E215149D3} - \ServiceCheck_32 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A9614BC-D1FD-40D1-BBF7-2532695DEA63} - \ServiceCheck_3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{956E154E-98A5-4B4F-BE3C-E86E6E43EA4D} - \ServiceCheck_11 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FCB42D3C-B020-4429-A571-8E2C52C36F54} - \ServiceCheck_26 (no xml)
O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing)
O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)

 

 

 

Затем:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Microrisk]

Прикрепляю отчёт ADWCleaner

AdwCleaner[S00].txt

[Sandor]

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Microrisk]

Прикрепляю отчёты

AdwCleaner[C01].txt FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  GroupPolicy-Firefox: Restriction <==== ATTENTION
  Policies: C:\Users\Aleksey\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Task: {0D674710-481A-4F81-93B3-D6B9B3946B12} - \update-sys -> No File <==== ATTENTION
  Task: {0FBE5B35-4C5F-4847-8ABD-6D235F7E1E12} - \hZWdCklbJJKUAe -> No File <==== ATTENTION
  Task: {2EFA1DB9-AFF6-4462-B937-94AEBFF3BE5B} - \ModifyLinkUpdate -> No File <==== ATTENTION
  Task: {3370C896-1004-4931-B2B8-2C0B743A0C8B} - \ServiceCheck_22 -> No File <==== ATTENTION
  Task: {364CAEBB-0335-4025-81A5-A9B67312A9F7} - \XHzoDqsLChdlDpKJg2 -> No File <==== ATTENTION
  Task: {3D16D768-D3A5-4670-B505-A4BAFDE6B70D} - \Opera scheduled assistant Autoupdate 1582278682 -> No File <==== ATTENTION
  Task: {4A756CC4-CB26-4DBD-B191-1BF14A67621B} - \StartCN -> No File <==== ATTENTION
  Task: {6D41D4D7-B156-4B45-96B1-EBDB846F6D27} - \zWaRGDdIQUFJO2 -> No File <==== ATTENTION
  Task: {8C44AC7A-E2A2-4FDE-8FE1-E6901E853738} - \{740B8D91-9B86-44B5-AF2F-5EEC124DB57C} -> No File <==== ATTENTION
  Task: {8F78528E-9929-47D7-8A37-54947CA7EC8E} - \AMDLinkUpdate -> No File <==== ATTENTION
  Task: {9BB87747-8A83-40DE-A79A-0C32141A1DB9} - \cvc -> No File <==== ATTENTION
  Task: {A9CF0814-E7FE-468D-BAFE-BBDE57F24C36} - \ServiceCheck_8 -> No File <==== ATTENTION
  Task: {B2991FAB-4174-4551-BB8A-4BE80DA909E5} - \gZaNTwEAcszYFtGWkmA2 -> No File <==== ATTENTION
  Task: {B39EE710-5934-4DE9-B75F-C45C22CBCF46} - \StartDVR -> No File <==== ATTENTION
  Task: {B840367E-66E6-4680-A2FF-2C4F146A6FC5} - \AMDInstallUEP -> No File <==== ATTENTION
  Task: {B8C86ED5-3B1E-4D9E-BBA5-878473308DFF} - \AAct -> No File <==== ATTENTION
  Task: {BF7B3297-CF76-4F93-ABE5-AA19304E3248} - \txOoFsZvhktTFIT2 -> No File <==== ATTENTION
  Task: {F0AF0E21-32BC-4495-BE76-5167B9C28B6B} - \Adobe Flash Player NPAPI Notifier -> No File <==== ATTENTION
  Task: {F5974E6C-D999-47EE-B233-984EDEAD7DC9} - \NetShield Kit Self Repair -> No File <==== ATTENTION
  C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
  C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\meejmcfbiapijdfaadackoblffmidlig
  C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn
  OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
  OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
  C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\aoeblpmededdgajkjbmlefkepphboide
  C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
  2021-02-10 06:46 - 2021-02-12 18:39 - 000000000 ____D C:\ProgramData\Flock
  NetShield Kit 1.3.30.0 (HKLM-x32\...\{3047a8bb-f1fa-426a-9bd1-c70248a1be1e}) (Version: 1.3.30.0 - Sigma Software) Hidden
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [622]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [622]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [622]
  AlternateDataStreams: C:\Users\Aleksey\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Aleksey\Application Data:NT2 [622]
  AlternateDataStreams: C:\Users\Aleksey\ntuser.ini:NTV [11734]
  AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT2 [622]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [622]
  AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
  AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [137]
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится

Цитата

NetShield Kit 1.3.30.0

Удалите.

[Microrisk]

Прикладываю лог.

NetShield Kit 1.3.30.0 - из панели управления, удаление программы нет возможности удалить.

Fixlog.txt

[Sandor]

Удалите принудительно через Geek Uninstaller

[Microrisk]

Удалил.

CoinMiner по прежнему в системе

[Sandor]

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[Microrisk]

Прикрепляю текстовый файл

scan.txt

[Sandor]

Всё найденное удалите (поместите в карантин).

Затем, при появлении сообщения антивируса, не удаляйте его а проделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Microrisk]

Прикрепляю лог

ALEKSEY-PK_2021-02-13_17-07-41_v4.11.3.7z

[regist]

1) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

2) Удалите все установленные у вас версии Java. Они давным давно протухли.

 

3) После этого соберите свежий лог uVS.

[Microrisk]

Прикрепляю лог и образ

ClearLNK-2021.02.14_12.02.37.log ALEKSEY-PK_2021-02-14_12-09-50_v4.11.3.7z