Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]

[b]thyrex[/b], элементы автозагрузки выключил. Сейчас нахожусь в безопасном режиме. Не все папки удалось найти, только "kara"( из перечисленных ), ее благополучно удалил. Также, папка "rdp" вообще отсутствует. Файлы аналогично. Их просто нет, либо попрятались. Файл реестра также удалил.


*Именно, эти файлы
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini


Удаленный доступ пользователей запрещен уже давно ( месяц или два ), разрешен только удаленный доступ помощнику "Windows".
Процесс, все равно, возвращается и приходится с ним бороться. Видимо, остались еще папки.
Хотя, странно, опять же, я их удаляю долго, они с каждым разом быстрее и быстрее восстанавливаются, вот сейчас ( 13:24 ) уже 5 минут как успокоились.
Кстати, "Ccleaner" нашел интересный файл в реестре, по крайней мере, расположение у него интересное ( аналогичное "RealtekHD", только в разделе "HKCU", а пути одинаковые ):
[url]https://yadi.sk/i/ZCm4vF7j3Zrwjb[/url] ( выложил на "Яндекс.Диск", так как лучше не буду засорять менеджер вложений скриншотами )
Логи "Fixlog.txt":

Total Commander есть на компьютере? Попробуйте найти недостающие папки и файлы с его помощью, предварительно включив в его настройках показ скрытых и системных файлов и папок

[b]thyrex[/b], "Total Commander", к сожалению, нет. Но, я скачаю и установлю её.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Все чисто. Файлов и папок не нашел.

Ладно, выбора не остается. Запускаем тяжелую артиллерию.

Скачайте ComboFix [url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe]здесь[/url] и сохраните на Рабочий стол.

1. [color=red]Внимание![/color] Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите [b]combofix.exe[/b], когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте [b]combofix.exe[/b] в [b][email protected][/b]

[b]thyrex[/b], надеюсь, что тяжести этой "артиллерии" хватит, чтобы уничтожить заразу. Кстати, встретил в Combofix.txt упоминание знакомого "svchost". Добавление 14:39 - не помогло, процессы запускаются снова и снова...
Логи "Combofix":

Скопируйте текст ниже в Блокнот и сохраните как файл с названием [B]CFScript.txt[/B] [B][COLOR="#0000CD"]в корень диска С[/COLOR][/B]
[code]KillAll::

Folder::
2018-08-03 10:33 . 2018-08-03 11:06 -------- d-sh--w- c:\programdata\WindowsTask
2018-08-03 10:33 . 2018-08-03 11:06 -------- d-sh--w- c:\programdata\RealtekHD
[/code]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму ComboFix.exe.

Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.

[b]thyrex[/b], во время процесса, компьютер перезагрузился, но это было уже на конечной стадии. Надеюсь, что я правильно сделал, что файл "CFScript.txt" перенес на ярлык программы "ComboFix". Но, процессы так и остаются на месте, точнее беспрепятственно продолжают запускаться :(
Вот, логи "ComboFix.txt":

Сделайте лог [url="http://support.kaspersky.ru/5350"]TDSSkiller[/url]

Сделайте лог [url="https://virusinfo.info/showthread.php?t=218706&p=1480220&viewfull=1#post1480220"]МВАМ[/url]

[b]thyrex[/b], проверку выполнил через "TDSSkiller", воспользовался предложением об удалении троянского ПО - не помогло.
Логи "MBAM" приложить не могу. Программу благополучно установил, а открыть не могу. В диспетчере задач следующая картина: процесс "mbam.exe" появляется, на него расходуется 3900 КБ и после появляется еще один процесс "WerFault", спустя секунд 5, оба процесса пропадают.
Вот логи "TDSSkiller": [url]https://yadi.sk/i/o67VDBdN3ZsaAB[/url] ( слишком большой файл, если относить его к общедоступному объему загружаемых файлов )

Попробуйте лог МВАМ сделать в безопасном режиме

[b]thyrex[/b], дело в том, что я и делаю все, в последнее время, в безопасном режиме. Даже пользовался справкой специалиста с сайта "safezone" ( надеюсь, я не нарушаю регламент вашего сервиса, что оставляю такой домен здесь ), но его справка не помогла. Я уже устанавливал MBAM ( где-то в апреле или мае ) и работал он хорошо и стабильно, но, после удалил, а теперь такая проблема возникла.



А, хотя, появилась интересная идея: мне, ведь, "Dr. Web Cure It" помогает устранить троянское ПО до перезагрузки; я могу запустить его, устранить угрозу и попробовать запустить "Malwarebytes". Это, ведь, никак не повлияет на конечную отчетность? ( учитывая то, что удаляет он исключительно две исходные папки в разделе "programmdata" и папка в реестре "Run" в итоге, после работы, становится недоступной по ошибке, а файл "RealtekHD" из реестра тоже пропадает )


Проверил этот вариант, но ошибка, как я понимаю, системная, либо открытие запретил "троян", иначе, я не могу объяснить почему эта ошибка снова появляется, ведь, вирус я удалил и ничего не должно препятствовать. Даже окна нет, просто мимолетный процесс ошибки запуска "WerFault.exe" и все.


21:34 - проверил и убедился, что проблема вызвана удалением некоторых файлов. Ошибка: "WindowsUpdate_00009C57" "WindowsUpdate_dt000"
Предлагают скачать и установить "WinThruster", запустить "системные" скрипты или установить какую-либо программу для проверки системных файлов, но я не уверен.

Пробуйте пролечиться с помощью [url]https://support.kaspersky.ru/viruses/krd18[/url]

[b]thyrex[/b], что-то странное с системой происходит... "WinRar" удалился каким-то образом. Но, я переустановлю, запишу образ и позже сообщу о результатах. Спасибо за наводку.

Пока идет подготовка, проверьте C:\Windows\system32\ExplorerPlug.dll на virustotal.com и пришлите ссылку на результат

[b]thyrex[/b], будет выполнено.Но, у меня возникла некоторая проблема с запуском системы с помощью USB-накопителя, не подскажете пожалуйста, как решить ее? Сам раздел "Boot Sequence" состоит из 3 возможных загрузочных накопителей и параметра "Boot From Other Device".
В первом выбираю "USB" ( образ записал через "UltraISO" с типом записи "USB-HDD" ) во втором уже выбрал свой "SSD", а в третьем - "HDD".
В итоге, после сохранения параметров, происходит запуск системы и останавливается на двух строчках:
"No SystemDick. Booting from harddisk.
Start booting from USB device..."
И, загрузка останавливается.

Никогда не имел дело с загрузочными флешками.

Проверьте пока файл из сообщения №54

[b]thyrex[/b], извините за задержку, появилась заминка некоторая, вот ссылка на "VirusTotal": [url]https://www.virustotal.com/#/file/7969d67dffd6d6dcd654931c8c25b688e6a7d7da0afb7c3e0943d36560891fcd/detection[/url]

С "Kaspersky Rescue Disck" не получается слаженной работы, то ли, вирус постарался и удалил некоторые функции, которые у меня в BIOS отсутствуют, то ли, я совсем глупый и не правильно что-то делаю.

Отправлю файл explorerplug.dll в вирлаб. Придется подождать

[b]thyrex[/b], время для меня не предел, хоть и тратится только на устранение этого вируса. В любом случае, вы занимаетесь филантропской деятельностью за бесплатно, а у меня принцип такой, что любая выполненная работа или та работа, на которую потратили много усилий, которая принесла значимый результат, должна быть оплачена. Просто, я понимаю, что моей жалобе сейчас уделяется много внимания и некоторые специалисты могут просто так тратить своё время, что не очень приятно сказывается на осознании всей ситуации, поэтому, в случае вашего согласия, я могу переслать некоторую сумму всем тем, кто помогал или был активно задействован в решении. Это немного стабилизирует всю ситуацию с моей стороны)

Случай у Вас просто интереснейший попался, вот и возимся всем миром :)
Все добровольные переводы только на помощь проекту [url]http://virusinfo.info/content.php?r=113-virusinfo.info-donate[/url]

[b]thyrex[/b], как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель:)

Вряд ли майнер уводит пароли.

Надеюсь, редактором реестра пользоваться тоже умеете.

HKLM\SYSTEM\CurrentControlSet\Services\4583790C1867598D - сделайте экспорт этой ветки и прикрепите в архиве к следующему сообщению

Все-таки, я попытался что-то сделать с восстановлением стабильного запуска программы "MalwareBytes", но не получилось. Кстати, я заметил, что та самая папка "rdp" появилась после выполнения скрипта, только не совсем помню какого. И, может, чтобы вызвать его повторное появление, стоит снова запустить этот скрипт и после просканировать файл "bat.bat" на наличие подозрительных кодов?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[b]thyrex[/b], помнится, "GridinSoft Anti-Malware" давал этому файлу ( "taskhostw.exe" ) тип "Stiller" ( Стиллер ), но, так как это единичный случай, то, вы правы. Редактором научился пользоваться уже после того, как начал разбираться с этим троянским ПО. Но, такой "ветки" подфайлов не нашел, даже совпадений нет. ( может, потому что, я удалил вирусы после запуска системы с помощью "Dr. Web Cure It" )

Новинка: ExplorerPlug.dll - Trojan.Win64.Miner.gek

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2018-07-10 18:19 - 2018-07-10 18:19 - 000945152 _____ (Диспетчер источников) C:\Windows\system32\ExplorerPlug.dll
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor)
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\System32\ExplorerPlug.dll [2018-07-10] (Диспетчер источников)
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

[b]thyrex[/b], очень быстрое выполнение скрипта насторожило, но все прошло удачно, вот логи:

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Ну, могу давать отчет: система работает исправно ( хотя и с ним работала тоже стабильно, но была в некоторых функциях ограничена, а сам процесс занимал 20 МБ оперативной памяти ( taskhostw.exe ), "MicrosoftHost.exe" в свою же очередь, всего 5 МБ и закрывался практически сразу после запуска ( 5-10 секунд )), процесс уже минут 15 не появляется в диспетчере. Файл в реестре также отсутствует и не появляется там. Единственное что, это WinRar архив с ExplorerPlug.dll на рабочем столе находится и в "msconfig" задача в разделе автозагрузок не пропала. Может, где-то еще лежит мусор, оставленный после этого троянского ПО.
Я сейчас уже ухожу спать, если что-то понадобится еще выполнить, то только утром смогу это сделать.
А так, огромное спасибо всем, кто принимал участие в организации помощи, честное слово, я уже отчаялся, так как после любой выполненной манипуляции с системой, процесс возвращался, а сейчас - нет, что не может не радовать=))
Можете, пожалуйста, пока что, статью не закрывать? Вдруг еще что-то проявится по этой теме, я тогда и напишу. ( буквально на дня 3-4 )

Архив с explorerplug можете удалять. Какая запись в msconfig не пропала?

[b]thyrex[/b], "RealtekHD" с путем HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run. Надеюсь, что многие антивирусные ПО внесли "ExplorerPlug.dll" или ему подобные в свою вирусную базу. И еще один маленький вопрос, если "AVG" не работает в полную меру, то можете, пожалуйста, посоветовать какую-нибудь программу от себя?

Ну тогда эту запись просто удалите вручную в редакторе реестра.

Чтобы внесли многие вендоры, им это файл нужно разослать. Или они постепенно потихоньку начнут детектировать сами. Можете, например, отправить сами в вирлаб AVG.
Но даже в сравнении с ночным анализом число срабатываний выросло вдвое [url]https://www.virustotal.com/#/file/7969d67dffd6d6dcd654931c8c25b688e6a7d7da0afb7c3e0943d36560891fcd/detection[/url] (детект от Лаборатории Касперского несколько отличается от того, как на самом деле его назвали, по ссылке срабатывание эвристики только)

Любой антивирус лишь уменьшает риск заболеть, потому я не люблю советовать антивирусные решения.

[b]thyrex[/b], в редакторе реестра, по заданному пути, "RealtekHD" отсутствует еще с 2-ух часов ночи, а вот строчка в "msconfig" не пропала:

Повторите логи FRST.txt, Addition.txt

Просто поиском в реестре найдите вхождение указанной записи и удалите ее.

Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]C:\Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"

Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]

[b]thyrex[/b], то есть, следует удалить папку "Run"? И, команда при выполнении открывает папку "Combofix" в ней содержится файл "PEV.exe" - это деинсталлятор?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[b]mike 1[/b], вот, загружал на "Yandex.Disk" ( по уже, всем известной, причине ): [url]https://yadi.sk/d/G7uVUzFu3ZtPic[/url]

Для удаления ComboFix есть еще вторая строчка в инструкции.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
MSCONFIG\startupreg: Realtek HD Audio => C:\ProgramData\RealtekHD\taskhostw.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Оставшиеся записи в Автозагрузке можно включить.

[b]thyrex[/b], выполнил, процесс "autorun" пропал, вот логи:
Но, запустить два этих ( последних в списке ) процесса не получается, они сбрасывают галочки сами с себя ( скриншот ): [url]https://yadi.sk/i/wNvMvDZH3ZtRx4[/url]

А в безопасном режиме? Если антивирус стартует нормально после перезагрузки, то может они вовсе и не важны

[b]thyrex[/b], попробую, сейчас скажу, что получится.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Все, запустил в безопасном режиме, перезагрузился и антивирус работает в привычном режиме. Максимум, что могу еще сделать, переслать конечные логи с системы, вдруг мусор еще остался, а так, огромное вам спасибо, в ближайшие дни постараюсь переслать сумму в поддержку проекту, вы очень сильно помогли)

Не нужно больше логов

Тогда, еще раз, огромнейшее "СПАСИБО" вам)

?????????? ???????????? ???????:
[LIST][*]???????? ??????????: [B]3[/B][*]?????????? ??????: [B]9[/B][*]? ???? ??????? ?????????? ??????????? ?????????:
[LIST=3D1][*] c:\programdata\realtekhd\taskhostw.exe - [B]Trojan.Win32.BitCoi=
nMiner.ayq[/B][*] c:\programdata\windowstask\microsofthost.exe - [B]HEUR:Trojan.W=
in32.Miner.gen[/B][/LIST][/LIST]