Решена Нужна помощь в нейтрализации последствий вируса-майнера

[Фредерик]

Начальные последствия и симптомы были как и у многих с этим майнером, лочилось антивирусное ПО, за упоминание оного в браузере они закрывались, зависало окно изменения даты и времени, нагружался цпу и гпу, закрывал любые таск менеджеры

1. Была произведена проверка и нейтрализация вредоносного ПО с помощью cureit
2. Обнаружена и удалена учётная запись Jonh
3. Дополнительно проводилась проверка trojan remover
4. Так как всё антивирусное ПО кроме cure it майнер блокировал, запустил и удалил майнер через AVBr и безопаску
5. Еще раз проверил всю систему и внешний hdd cure it
6. Прогнал AVBr-ом и автологгером в обычном режиме и собрал логи
Жду ваших советов какие действия выполнить для финальной очистки системы. На данный момент система работает стабильно и видимые последствия майнера устранены.
Также возможно подскажете почему malwarebytes не хочет запускаться и выдаёт "unable to connect the service", могут ли быть это последствия майнера?
логи прикрепляю

 

[akok]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC - Zver" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Tasks: (damaged) Overwolf Updater Task - C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (user missing)
O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE

Проверяйте, что с проблемой.

 

[Фредерик]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC - Zver" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineCore" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\MicrosoftEdgeUpdateTaskMachineUA" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Восстановление сервиса обновлений Яндекс.Браузера" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Tasks: (damaged) (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Системное обновление Браузера Яндекс" /ENABLE (user missing)
O22 - Tasks: (damaged) Overwolf Updater Task - C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe /RunningFrom Schedule (user missing)
O22 - Tasks: (disabled) \Avast Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE

Проверяйте, что с проблемой.

Всё сделал, malwarebytes также выдаёт ошибку при запуске. Кстати вот эти красные строки в avz это в порядке вещей или тоже стоит обратить внимание?
Еще некоторые настройки безопасности смущают

 

[akok]

Это нормальное поведение.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Фредерик]

Готово

 

[akok]

Нужно больше информации о ошибке malwarebytes нужно больше информации. Пробовали переустановить?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {9367519A-CDF2-4D3C-A9E5-D917DA7619D2} - System32\Tasks\SS2Svc64Run => "C:\Program Files\ASUSTeKcomputer.Inc\SS2\UserInterface\x64\SS2Svc64.exe"  $(Arg0) $(Arg1) $(Arg2) $(Arg3) $(Arg4) $(Arg5) $(Arg6) $(Arg7) (Нет файла)
  CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
  CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]
  2023-05-25 12:54 - 2023-05-25 12:54 - 000000000 __SHD C:\Users\Den\Downloads\AV_block_remover
  2023-05-25 12:54 - 2023-05-25 12:54 - 000000000 __SHD C:\Users\Den\Desktop\AV_block_remover
  2023-05-25 12:54 - 2023-05-25 12:54 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-25 12:54 - 2023-05-25 12:54 - 000000000 __SHD C:\Program Files\RogueKiller
  FirewallRules: [TCP Query User{FFEA8079-8FDB-48BB-92DD-C28F99C9AC61}F:\games\cod4\iw3mp.exe] => (Allow) F:\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [UDP Query User{ED46666F-7A28-4B0B-94B3-66464AF0FFC0}F:\games\cod4\iw3mp.exe] => (Allow) F:\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [TCP Query User{856A8371-DA4A-41C2-93EE-DDBF2131DFF0}E:2\games\cod4\iw3mp.exe] => (Block) E:2\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [UDP Query User{9AE37D38-1649-480E-80BB-9B1C38606ED4}E:2\games\cod4\iw3mp.exe] => (Block) E:2\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [TCP Query User{15A0DCB8-7BB6-44AB-A664-2EE95158B831}E:7\games\cod4\iw3mp.exe] => (Block) E:7\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [UDP Query User{6F604A39-6E2F-4C2B-9CC8-FE9824E0DEE7}E:7\games\cod4\iw3mp.exe] => (Block) E:7\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [TCP Query User{64D328D7-12A5-4893-96B7-0FCAC534249C}E:8\games\cod4\iw3mp.exe] => (Block) E:8\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [UDP Query User{D9AC3A64-5E08-4D33-8E50-5ECADD6F3A74}E:8\games\cod4\iw3mp.exe] => (Block) E:8\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [TCP Query User{8C25003A-4143-4CC8-BAC7-F8C916A057F1}E:9\games\cod4\iw3mp.exe] => (Block) E:9\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [UDP Query User{A856D7AB-85C1-48F4-984C-5E86E185E0ED}E:9\games\cod4\iw3mp.exe] => (Block) E:9\games\cod4\iw3mp.exe => Нет файла
  FirewallRules: [TCP Query User{5B4D6E11-6424-4DDC-B0B7-241D0E68F167}F:\stalkeronline\stalkeronline launcher.exe] => (Allow) F:\stalkeronline\stalkeronline launcher.exe => Нет файла
  FirewallRules: [UDP Query User{39659458-47CA-41AC-B1A2-E5123B539BAC}F:\stalkeronline\stalkeronline launcher.exe] => (Allow) F:\stalkeronline\stalkeronline launcher.exe => Нет файла
  FirewallRules: [TCP Query User{E29C57C8-260F-4BCD-BF57-D99AE0B4B4A6}F:\stalkeronline\game\sogame.exe] => (Allow) F:\stalkeronline\game\sogame.exe => Нет файла
  FirewallRules: [UDP Query User{E30B1F5B-8E78-415B-9BC0-24D616F8B8DC}F:\stalkeronline\game\sogame.exe] => (Allow) F:\stalkeronline\game\sogame.exe => Нет файла
  FirewallRules: [TCP Query User{989A1BA8-3051-41AA-BE27-CFE1A2D22FAA}\\samba\abon\soft\microsip-3.20.7\microsip.exe] => (Allow) \\samba\abon\soft\microsip-3.20.7\microsip.exe => Нет файла
  FirewallRules: [UDP Query User{2811D2C7-2A3F-4C89-A2A9-EC3DEA22904F}\\samba\abon\soft\microsip-3.20.7\microsip.exe] => (Allow) \\samba\abon\soft\microsip-3.20.7\microsip.exe => Нет файла
  FirewallRules: [{201E16D7-0248-4944-8ABB-026E75E2D8CA}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.33\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{E2A252C7-AB62-45B2-BB6E-53E9F11B41DC}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.33\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{37799A7F-6752-47B0-BDD1-70DFDCDEE49C}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.33\OverwolfBrowser.exe => Нет файла
  FirewallRules: [{FCF9D4CC-0679-4148-8E15-4D7654A619BB}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.33\OverwolfBrowser.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Фредерик]

Сделал
Вот такое сообщение выдаёт MB при запуске, пробовал и от имени админа запустить и с включенным vpn, переустанавливал - без разницы :|

 

[Sandor]

Уточнение:
до заражения MB работал? Если нет, то это результат "санкций". Программа пытается связаться со своими серверами и не может, т.к. закрыто для РФ.

 

[Фредерик]

Уточнение:
до заражения MB работал? Если нет, то это результат "санкций". Программа пытается связаться со своими серверами и не может, т.к. закрыто для РФ.

Да, помнится буквально несколько месяцев назад пользовался ею

 

[Sandor]

это результат "санкций"

Как давно они заработали, не могу точно сказать. Не исключено, что как раз несколько месяцев назад.

В остальном какие ещё проблемы наблюдаете?

 

[Фредерик]

Как давно они заработали, не могу точно сказать. Не исключено, что как раз несколько месяцев назад.

В остальном какие ещё проблемы наблюдаете?

Нет в целом система работает стабильно, остаётся все пассворды поменять, ибо как я полагаю майнер мог украсть эти данные и подобрать хорошее антивирусное ПО желательно с проактивной защитой

 

[Sandor]

Пароли поменять не помешает.
Вот финальные рекомендации:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Фредерик]

1. Сделал
2. Просканировал вот лог

 

[Sandor]

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен Контроль учётных записей

--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.19.30.28 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
TeamViewer v.15.22.3 Внимание! Скачать обновления
OpenOffice 4.1.4 v.4.14.9788 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.70 (64-bit) v.5.70.0 Внимание! Скачать обновления
7-Zip 16.04 v.16.04 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
Viber v.13.6.0.58 Внимание! Скачать обновления
Pidgin v.2.14.8 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.5-I602 amd64 v.2.5.028 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46682 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.11 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.0.0 v.14.0.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.23.3.4.603 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО

 

[Фредерик]

Огромнейшее спасибо вашей команде за такой непосильный по оказанию помощи нам простым и немного продвинутым юзверям, успехов вам в дальнейших делах)