Решена Как удалить Malware после Tool.Btcmine.2584 ?

[Dmitry Go]

День добрый, вчера заподозрил ноутбук в удаленном майнинге (подменял ссылку кошелька в буфере обмена, быстро разряжался, частоты зашкаливали без видимых причин, страницы антивирусов закрывались).
С помощью dr web, avz, autologger и frst убрал видимые моему глазу подозрительные файлы, почистил hosts, в том числе убрал tool.btcmine.2584.
Но столкнулся с проблемой при установке malware (попросту не встал нормально) и теперь выдает ошибку при удалении. Знаю, что некоторые на форуме уже сталкивались с подобным. Прошу помощи, спасибо!

 

[akok]

https://support.malwarebytes.com/hc...warebytes-using-the-Malwarebytes-Support-Tool - попробуйте в безопасном режиме почистить следы. Логи когда собирали? После манипуляций своих?

 

[Dmitry Go]

Да, это уже свежие.
То есть пройтись тем же самым только в безопасном?

 

[Dmitry Go]

Увидел ссылку выше, сейчас попробую

 

[Dmitry Go]

https://support.malwarebytes.com/hc...warebytes-using-the-Malwarebytes-Support-Tool - попробуйте в безопасном режиме почистить следы. Логи когда собирали? После манипуляций своих?

После запуска и нажатия на clean - помощник закрывается через две секунды

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\Run: [GoogleChromeAutoLaunch_0956EBED19EEAF141F2669AAC7A67A4E] => "C:\Users\gorod\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --no-startup-window --atlogin-bgr-mark /prefetch:5 (Нет файла)
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {543d2121-cb62-11eb-9781-c03c59457d96} - "F:\Autoplay.exe" -auto
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {640fae02-3f27-11ec-9798-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {bc9009a8-9249-11ec-97ab-c03c59457d96} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d1560617-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d156078d-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d1560db7-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  2022-04-17 10:52 - 2022-04-17 12:43 - 000002044 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
  2022-04-17 10:52 - 2022-04-17 10:52 - 000248992 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
  2022-04-17 10:52 - 2022-04-17 10:51 - 000160176 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys
  2022-04-17 10:52 - 2022-04-17 10:51 - 000019912 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys
  2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\ProgramData\Malwarebytes
  2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\Program Files\Malwarebytes
  ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-04-17] (Доступ не разрешён)  [Файл не подписан]
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
  
  
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве

После выполнения скрипта скачайте утилиту для удаления Malwarebytes и зачистите следы, и/или попробуйте установить программу заново.

 

[Dmitry Go]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\Run: [GoogleChromeAutoLaunch_0956EBED19EEAF141F2669AAC7A67A4E] => "C:\Users\gorod\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --no-startup-window --atlogin-bgr-mark /prefetch:5 (Нет файла)
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {543d2121-cb62-11eb-9781-c03c59457d96} - "F:\Autoplay.exe" -auto
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {640fae02-3f27-11ec-9798-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {bc9009a8-9249-11ec-97ab-c03c59457d96} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d1560617-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d156078d-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-434444586-301166530-3283717098-1001\...\MountPoints2: {d1560db7-d39a-11eb-9782-c03c59457d96} - "D:\HiSuiteDownLoader.exe"
  2022-04-17 10:52 - 2022-04-17 12:43 - 000002044 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
  2022-04-17 10:52 - 2022-04-17 10:52 - 000248992 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbamswissarmy.sys
  2022-04-17 10:52 - 2022-04-17 10:51 - 000160176 _____ (Malwarebytes) C:\Windows\system32\Drivers\mbae64.sys
  2022-04-17 10:52 - 2022-04-17 10:51 - 000019912 _____ (Malwarebytes) C:\Windows\system32\Drivers\MbamElam.sys
  2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\ProgramData\Malwarebytes
  2022-04-17 12:43 - 2022-02-02 21:36 - 000000000 ____D C:\Program Files\Malwarebytes
  ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} => C:\Program Files\Malwarebytes\Anti-Malware\mbshlext.dll [2022-04-17] (Доступ не разрешён)  [Файл не подписан]
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
  
  
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве

После выполнения скрипта скачайте утилиту для удаления Malwarebytes и зачистите следы, и/или попробуйте установить программу заново.

Всё прошло успешно. Лог прикрепил. malware деинстолировал без проблем после перезагрузки и поставил заново.
Судя по логам, я правильно понимаю, что какаха ушла совсем? Ибо вирусня была поверхностной и особо даже не маскировалась.

И сразу выражу благодарность за твои труды, я изучал предыдущие темы схожих происшествий и везде ты, как бэтмен, пришёл на помощь! Вот они - супергерои нынешнего времени)

 

[akok]

В логах ничего плохого не было. Только следы и побитый Malwarebytes. Финальные рекомендации и на этом все.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки