[b]thyrex[/b], как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель:)
Printable View
[b]thyrex[/b], как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель:)
Вряд ли майнер уводит пароли.
Надеюсь, редактором реестра пользоваться тоже умеете.
HKLM\SYSTEM\CurrentControlSet\Services\4583790C1867598D - сделайте экспорт этой ветки и прикрепите в архиве к следующему сообщению
Все-таки, я попытался что-то сделать с восстановлением стабильного запуска программы "MalwareBytes", но не получилось. Кстати, я заметил, что та самая папка "rdp" появилась после выполнения скрипта, только не совсем помню какого. И, может, чтобы вызвать его повторное появление, стоит снова запустить этот скрипт и после просканировать файл "bat.bat" на наличие подозрительных кодов?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]thyrex[/b], помнится, "GridinSoft Anti-Malware" давал этому файлу ( "taskhostw.exe" ) тип "Stiller" ( Стиллер ), но, так как это единичный случай, то, вы правы. Редактором научился пользоваться уже после того, как начал разбираться с этим троянским ПО. Но, такой "ветки" подфайлов не нашел, даже совпадений нет. ( может, потому что, я удалил вирусы после запуска системы с помощью "Dr. Web Cure It" )
Новинка: ExplorerPlug.dll - Trojan.Win64.Miner.gek
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
2018-07-10 18:19 - 2018-07-10 18:19 - 000945152 _____ (Диспетчер источников) C:\Windows\system32\ExplorerPlug.dll
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor)
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\System32\ExplorerPlug.dll [2018-07-10] (Диспетчер источников)
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
[b]thyrex[/b], очень быстрое выполнение скрипта насторожило, но все прошло удачно, вот логи:
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Ну, могу давать отчет: система работает исправно ( хотя и с ним работала тоже стабильно, но была в некоторых функциях ограничена, а сам процесс занимал 20 МБ оперативной памяти ( taskhostw.exe ), "MicrosoftHost.exe" в свою же очередь, всего 5 МБ и закрывался практически сразу после запуска ( 5-10 секунд )), процесс уже минут 15 не появляется в диспетчере. Файл в реестре также отсутствует и не появляется там. Единственное что, это WinRar архив с ExplorerPlug.dll на рабочем столе находится и в "msconfig" задача в разделе автозагрузок не пропала. Может, где-то еще лежит мусор, оставленный после этого троянского ПО.
Я сейчас уже ухожу спать, если что-то понадобится еще выполнить, то только утром смогу это сделать.
А так, огромное спасибо всем, кто принимал участие в организации помощи, честное слово, я уже отчаялся, так как после любой выполненной манипуляции с системой, процесс возвращался, а сейчас - нет, что не может не радовать=))
Можете, пожалуйста, пока что, статью не закрывать? Вдруг еще что-то проявится по этой теме, я тогда и напишу. ( буквально на дня 3-4 )
Архив с explorerplug можете удалять. Какая запись в msconfig не пропала?
[b]thyrex[/b], "RealtekHD" с путем HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run. Надеюсь, что многие антивирусные ПО внесли "ExplorerPlug.dll" или ему подобные в свою вирусную базу. И еще один маленький вопрос, если "AVG" не работает в полную меру, то можете, пожалуйста, посоветовать какую-нибудь программу от себя?
Ну тогда эту запись просто удалите вручную в редакторе реестра.
Чтобы внесли многие вендоры, им это файл нужно разослать. Или они постепенно потихоньку начнут детектировать сами. Можете, например, отправить сами в вирлаб AVG.
Но даже в сравнении с ночным анализом число срабатываний выросло вдвое [url]https://www.virustotal.com/#/file/7969d67dffd6d6dcd654931c8c25b688e6a7d7da0afb7c3e0943d36560891fcd/detection[/url] (детект от Лаборатории Касперского несколько отличается от того, как на самом деле его назвали, по ссылке срабатывание эвристики только)
Любой антивирус лишь уменьшает риск заболеть, потому я не люблю советовать антивирусные решения.
[b]thyrex[/b], в редакторе реестра, по заданному пути, "RealtekHD" отсутствует еще с 2-ух часов ночи, а вот строчка в "msconfig" не пропала:
Повторите логи FRST.txt, Addition.txt
Просто поиском в реестре найдите вхождение указанной записи и удалите ее.
Деинсталлируйте ComboFix: нажмите [b]Пуск[/b] => [b]Выполнить[/b] в окне наберите команду [b]C:\Combofix /Uninstall[/b], нажмите кнопку "[b]ОК[/b]"
Скачайте [url="http://oldtimer.geekstogo.com/OTC.exe"]OTCleanIt[/url], запустите, нажмите [B]Clean up[/B]
[b]thyrex[/b], то есть, следует удалить папку "Run"? И, команда при выполнении открывает папку "Combofix" в ней содержится файл "PEV.exe" - это деинсталлятор?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[b]mike 1[/b], вот, загружал на "Yandex.Disk" ( по уже, всем известной, причине ): [url]https://yadi.sk/d/G7uVUzFu3ZtPic[/url]
Для удаления ComboFix есть еще вторая строчка в инструкции.
1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
MSCONFIG\startupreg: Realtek HD Audio => C:\ProgramData\RealtekHD\taskhostw.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]
Оставшиеся записи в Автозагрузке можно включить.
[b]thyrex[/b], выполнил, процесс "autorun" пропал, вот логи:
Но, запустить два этих ( последних в списке ) процесса не получается, они сбрасывают галочки сами с себя ( скриншот ): [url]https://yadi.sk/i/wNvMvDZH3ZtRx4[/url]
А в безопасном режиме? Если антивирус стартует нормально после перезагрузки, то может они вовсе и не важны
[b]thyrex[/b], попробую, сейчас скажу, что получится.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Все, запустил в безопасном режиме, перезагрузился и антивирус работает в привычном режиме. Максимум, что могу еще сделать, переслать конечные логи с системы, вдруг мусор еще остался, а так, огромное вам спасибо, в ближайшие дни постараюсь переслать сумму в поддержку проекту, вы очень сильно помогли)
Не нужно больше логов
Тогда, еще раз, огромнейшее "СПАСИБО" вам)
?????????? ???????????? ???????:
[LIST][*]???????? ??????????: [B]3[/B][*]?????????? ??????: [B]9[/B][*]? ???? ??????? ?????????? ??????????? ?????????:
[LIST=3D1][*] c:\programdata\realtekhd\taskhostw.exe - [B]Trojan.Win32.BitCoi=
nMiner.ayq[/B][*] c:\programdata\windowstask\microsofthost.exe - [B]HEUR:Trojan.W=
in32.Miner.gen[/B][/LIST][/LIST]