Решена Вредоносное по, а точнее майнеры Tool.BtcMine

[Tatmyshevskij]

Всем здравия, скачал торрент игры, после установки заметил, что ноут стал некорректно себя вести, упал ФПС в играх, при открытии браузера не открывается ни один сайт, проверил компьютер Dr.Web Cureit и он показал, что система очень сильно заражена
Так же в папке Program Data появились пустые папки "Avira" "Malwarebytes" "Indus" и тд...
Логи прикрепляю, заранее извиняюсь, если доктор веб снёс все угрозы, поэтому прикреплю скрин того, что он нашёл

 

[akok]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно запустите Autologger и прикрепите новый CollectionLog.

 

[akok]

Лечение куриетом было до или после сбора логов?

 

[Tatmyshevskij]

Лечение куриетом было до или после сбора логов?

До, но после наткнулся на ваш форум, приостановил поиск и закрыл куреит, так как прочитал, что результатов от него не будет, каюсь, очень волнуюсь поэтому могу совершать такие глупые ошибки

 

[Tatmyshevskij]

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_br.exe)


Повторно запустите Autologger и прикрепите новый CollectionLog.

Вот

 

[akok]

Никаких ошибок, просто нужно понять очередность.

 

[Tatmyshevskij]

Никаких ошибок, просто нужно понять очередность.

Заметил падение производительности, попытался скачать куреит, хром автоматически закрывался, утилиту скачал на телефон, запустил на пк, почти час производил проверку, в это время шерстил гугл, наткнулся на ваш сайт, в паре тем было написано, что от др.веба толку нет, после перезагрузки вновь появляется майнер, решил приостановить поиск угроз, зарегестрировался на вашем форуме, и по инструкции оформил тему

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sinel','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sinel','x64');
 RebootWindows(true);
end.

Компьютер перезагрузится.

webcompanion - стоит деинсталлировать. Проверьте, что с проблемой.

 

[Tatmyshevskij]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sinel','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','sinel','x64');
 RebootWindows(true);
end.

Компьютер перезагрузится.

webcompanion - стоит деинсталлировать. Проверьте, что с проблемой.

Скрипт выполнил, webcompanion-даже не знаю что это и где находится

 

[akok]

Понял, тогда
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Tatmyshevskij]

Понял, тогда
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Готово

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\WINDOWS\system32\curl.exe; C:\WINDOWS\SysWOW64\curl.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [10]
  AlternateDataStreams: C:\ProgramData\system.conf:0F57F3FDE6 [10]
  AlternateDataStreams: C:\ProgramData\system.conf:422D4106AB [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2020.lnk:708E5666EE [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [10]
  IE trusted site: HKU\S-1-5-21-85129423-3226614565-839666406-1001\...\webcompanion.com -> hxxp://webcompanion.com
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Tatmyshevskij]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  VirusTotal: C:\WINDOWS\system32\curl.exe; C:\WINDOWS\SysWOW64\curl.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [10]
  AlternateDataStreams: C:\ProgramData\system.conf:0F57F3FDE6 [10]
  AlternateDataStreams: C:\ProgramData\system.conf:422D4106AB [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2020.lnk:708E5666EE [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2020.lnk:1A5FAF1E4E [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [10]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [10]
  IE trusted site: HKU\S-1-5-21-85129423-3226614565-839666406-1001\...\webcompanion.com -> hxxp://webcompanion.com
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Готово, вроде как лучше стало. но думаю еще нужно понаблюдать за состоянием

 

[akok]

Понаблюдайте за системой, если проблем с майнером нет, то финальные рекомендации

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[Tatmyshevskij]

Готово, "Game Repack ot xatab 1.0" нашёл только в реестре, и то это лишь название, ни папок ни файлов с таким наименованием нет

 

[akok]

Готово, "Game Repack ot xatab 1.0" нашёл только в реестре, и то это лишь название, ни папок ни файлов с таким наименованием нет

Утилита проверяет и реестр, вот и нашла.

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

 

[Tatmyshevskij]

Утилита проверяет и реестр, вот и нашла.

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------

Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

Огромное вам спасибо, без вас у меня ничего бы не получилось

 

[akok]

Удачи!