Вирус-шпион, майнер

Добрый день, подхватил где-то майнер, который загружал систему, майнер я своими силами кое-как обезвредил(нашел похожий скрипт на этом сайте).

Дня через 2 после удаления майнера мне пришло уведомление системы безопасности гугл о том, что замечены подозрительные действия: "запущено подозрительное приложение". (Без указания на то, что это за приложение и когда запущено)

Оказалось, что помимо майнера в системе сидел еще или троян с удаленным доступом или еще какая-то зараза, которая имела доступ напрямую в браузер Мозила(т.к. у меня стоит двухфакторная аутентификация). Все пароли на всех сайтах я поменял, без сохранения их в память браузера. После этого я переустановил систему, диск с предыдущей системой отформатировал, оставив только папку с данными с рабочего стола и загрузок(сохранил их на другой диск). Спустя неделю я получаю повторное предупреждение системы безопасности гугл, и хоть браузер теперь с новым профилем, пароли не сохранял в него, пароли все заменены, а доступ до сих пор через двухфакторную аутентификацию, в связи с чем начали появляться сомнения, что удаленный доступ умудрился остаться после переустановки системы.

(Если это поможет, майнер прятался в ВиндовсТаск и РеалтекХД, кроме того был изменен файл хост, с добавлением ряда сайтов(в том числе вирусинфо, сайты для загрузки антивирусов, также был изменен реестр с запретом запуска антивирусных программ. Ну и еще пока я не удалил майнер в процессах всплывал rutserv.exe)

Уважаемый(ая) [B]alexpot[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
[code]O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-4018696425-260756982-3349593648-500 - C:\Users\sawa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-506772278-3762897600-2971389503-500 - C:\Users\sawa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"
[/code]

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

"Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке"


Прошу прощения, какая это функция?



[B]Апдейт. Функцию нашел. Сейчас еще раз загружу логи. [/B]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Новые логи после фикса в хайджек

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Прикрепляю файлы


Также хотелось бы уточнить, проверка через Фарбар происходит только на диске C(который я форматировал до переустановки системы), подозрения касаются файлов, на других дисках(которые я не форматировал). Можно ли как-то запустить проверку Фарбаром других дисков, а не только диска С, или это не имеет смысла, если на диске С нет странных исполнительных файлов?

А лог FRST.txt зачем редактировали?

Я не редактировал его. Сейчас повторно запущу проверку.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Прикладываю повторную проверку.

По логам в целом ничего критичного не замечено.

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4018696425-260756982-3349593648-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Прикрепляю файл после фикса.