Вирус-майнер

Самостоятельно нашёл в системе майнера:
[LIST][*]Грузит видеопроцессор на 100 процент[*]При запуске диспетчера задач нагрузка исчезает полностью[*]Найдено местоположение вируса по пути C:\ProgramData\Windows[*]Прячется (судя по одному из файлов в директории вируса) под процессом dlchosts.exe[/LIST]

Местоположение вируса не видно в проводнике (в том числе среди скрытых, в том числе командой dir в терминале), попасть можно только прописав точный путь. После перезагрузки вирус не проявлял активность, удалось спровоцировать запустив игру "Dota", и запустив поиск игры. После завершения игры, и его закрытия майнер продолжает свою работу приостанавливаясь лишь при запуске диспетчера задач.
Список файлов в директории: dlchosts.exe, nvrtc64_101_0.dll, nvrtc-builtins64_101.dll, WinRing0x64.sys, xmrig-cuda.dll, последний файл p1 (без формата файла)

Пробовал чистить с помощью "Kaspersky Rescue Disk", успешно находит, удаляет. После удаления был установлени KIS (лицензия), сегодня появился вирус вновь. Хочу найти источник его появления в системе...

Уважаемый(ая) [B]Herme$[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\windows\dlchosts.exe');
QuarantineFile('c:\programdata\windows\dlchosts.exe', '');
QuarantineFileF('c:\programdata\windows', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js', true, '', 0, 0);
DeleteFile('c:\programdata\windows\dlchosts.exe', '');
DeleteFile('c:\programdata\windows\dlchosts.exe', '64');
DeleteService('WindscribeService');
DeleteFileMask('c:\programdata\windows', '*', true);
DeleteDirectory('c:\programdata\windows');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
DeleteSchedulerTask('Microsoft\Windows\Subscription\Subscription');
DeleteSchedulerTask('MSI_Help_Desk_Agent');
DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-1152748529-924715390-3095423772-500');
DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-3765805579-626788932-17753820-500');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Карантин загружен, так же прикрепил вывод программы Farbar.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Unlock: C:\ProgramData\Windows
CMD: cmd /C del /Q /F /S C:\ProgramData\Windows
CMD: cmd /C rd /Q /S C:\ProgramData\Windows
FirewallRules: [TCP Query User{2694B91B-5BC2-400C-9F0B-FBBC084A8928}C:\games\conan exiles\conansandbox\binaries\win64\conansandbox.exe] => (Allow) C:\games\conan exiles\conansandbox\binaries\win64\conansandbox.exe => Нет файла
FirewallRules: [UDP Query User{7E807D08-31B6-4B56-934E-63D01D0A5201}C:\games\conan exiles\conansandbox\binaries\win64\conansandbox.exe] => (Allow) C:\games\conan exiles\conansandbox\binaries\win64\conansandbox.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.

Сообщите, что с проблемой.

Директория майнера исчезла, пока что нет активности. Есть ли предположения о источнике заражения? Т.к. это происходит в 4-й раз. Лог фикса прикреплён.

Возможно, раньше чистили только сам майнер, а скрипт powershell, который его, видимо, загружает - нет.
Обычно такой довесок распространяют со взломанными играми, модами и т. п.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

Прикрепил запрашиваемый файл.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color][/QUOTE]
Рекомендую ознакомиться со статьёй [URL="https://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.

В остальном порядок.