Вирус майнер

[Kolobok85]

Добрый день. Вирус майнер под видомReacted hd.
Танцы с бубном установки антивируса, скачивание через телефон, переименование, облако, скачка на комп.
Итог:
Dr web cure it запускается в обычном режиме, видит вирус, удаляет, перезагрузка - всё по новой.
Av block removal запускается в безопасном режиме. Видит вирус, удаляет, перезагрузка - по новой

[Info_bot]

Уважаемый(ая) Kolobok85, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\ProgramData\Microsoft\NetFramework\Bisinwxyevch8Avod\Game.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\NetFramework\Bisinwxyevch8Avod\RecoveryManagerL.bat', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 DeleteFileMask('c:\programdata\microsoft\netframework\bisinwxyevch8avod', '*', true);
 DeleteFileMask('c:\programdata\reaitekhd', '*', true);
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\microsoft\netframework\bisinwxyevch8avod');
 DeleteDirectory('c:\programdata\reaitekhd');
 DeleteDirectory('c:\programdata\windowstask');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\Bisinwxyevch8Avod');
 DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

Снова запустите AV block remove в обычном режиме, лог выполнения приложите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Kolobok85]

При выполнении скрипта Ошибка: too many actual parameters в позиции 14:16
RegKeyParamDel('HKEY_LOCAL_MACHINE

- - - - -Добавлено - - - - -

Запутался в переименованных мною папках программ. Сделал всё по инструкции. Признаков вируса не вижу

[Vvvyg]

При выполнении скрипта Ошибка: too many actual parameters в позиции 14:16
RegKeyParamDel('HKEY_LOCAL_MACHINE

В старой версии пытались выполнить?

Запутался в переименованных мною папках программ. Сделал всё по инструкции. Признаков вируса не вижу

Не всё. Я просил лог выполнения AVBR после выполнения скрипта лечения. Вы AVBR, похоже, не запускали,а он убирает некоторые блокировки, которые в логах AVZ и FRST не видны. Ну и засунуть логи FRST в архив CollectionLog конечно, нестандартное решение

Рекомендации выполняются полностью и именно в том порядке, в котором даны, а вы один пункт проскочили. Так что, будьте добры 1) запустить ещё раз AV block remove и приложить его лог; 2) после этого сделать новые логи FRST.

[Kolobok85]

Всё выполнил

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [usbfltrb] => [X]
2023-09-01 20:38 - 2023-08-30 21:13 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-09-01_20-38_hosts.bak
2023-08-30 21:13 - 2023-08-27 00:25 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-30_21-13_hosts.bak
2023-08-27 00:25 - 2023-08-27 00:06 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-27_00-25_hosts.bak
2023-08-27 00:06 - 2023-08-26 23:47 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-27_00-06_hosts.bak
2023-08-26 23:47 - 2023-08-26 21:23 - 000005133 _____ C:\Windows\system32\Drivers\etc\2023-08-26_23-47_hosts.bak
2023-08-26 23:40 - 2023-08-26 23:40 - 009636556 _____ (Company © regist) C:\Users\95042\Downloads\Неподтверждено 993604.crdownload
2023-08-26 21:20 - 2023-08-31 00:31 - 000000000 ____D C:\Users\95042\Doctor Web
2023-08-20 18:44 C:\Program Files\NETGATE
2023-08-20 18:44 C:\Users\95042\AppData\Roaming\Sysfiles
2023-08-20 18:44 C:\ProgramData\princeton-produce
FirewallRules: [{FFDCAD49-3A81-4AB4-AFD3-A63CEB983BE1}] => (Allow) C:\Users\95042\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{E5D6F6F3-B9B6-44F3-903D-F12672E09ABB}] => (Allow) C:\Users\95042\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
AlternateDataStreams: C:\Users\95042\AppData\Local\Temp:$DATA​ [16]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.