Процессы x32 и фризы с ними [not-a-virus:RiskTool.Win32.BitCoinMiner.hxao ]

[4yDak]

Недавно был атакован вирусом, были украдены пароли и тд, сейчас же начали запускаться разные приложения в x32, а не x64 как раньше.
Чистку проводил, но кажется что-то, да осталось.

[Info_bot]

Уважаемый(ая) 4yDak, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[4yDak]

Ну?
Кто-нибудь смотрел?

- - - - -Добавлено - - - - -

Ээээй

[Vvvyg]

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 192.168.1.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{C66CF349-EFC1-4618-ADD6-4CF3BC92BD6D}: NameServer = 94.130.44.229

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe', '');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe', '32');
 DeleteFile('C:\Users\Intel\Favorites\Links\Интернет.url', '32');
 DeleteFileMask('c:\programdata\windowssql', '*', true);
 DeleteDirectory('c:\programdata\windowssql');
 ExecuteFile('ipconfig.exe', '/flushdns', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

[4yDak]

Карантин отправил.
Логи:

- - - - -Добавлено - - - - -

Случайно кинул Check_Browsers_LNK.log из архива :с

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 QuarantineFile('c:\programdata\framework\windows driver.exe', '');
 DeleteFile('c:\programdata\framework\windows driver.exe', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5WebSockets.dll', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5Network.dll', '32');
 DeleteFile('C:\ProgramData\Framework\Qt5Core.dll', '32');
 DeleteFile('C:\ProgramData\Framework\ssleay32.dll', '32');
 DeleteFile('C:\ProgramData\Framework\LIBEAY32.dll', '32');
 DeleteFileMask('c:\programdata\framework', '*', true);
 DeleteDirectory('c:\programdata\framework');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

[4yDak]

Карантин отправил!
Вот:

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
() C:\ProgramData\DirectX11b\System.exe
File: C:\ProgramData\DirectX11b\System.exe
2017-09-29 18:02 - 2016-02-17 21:43 - 000008192 ____H () C:\ProgramData\DirectX11b\System.exe
R2 DirectX11b; C:\ProgramData\DirectX11b\System.exe [8192 2016-02-17] () [File not signed] <==== ATTENTION
C:\ProgramData\DirectX11b
CHR Profile: C:\Users\Intel\AppData\Local\Google\Chrome\User Data\System Profile [2017-07-19]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[4yDak]

Не могу кинуть образ автозапуска т.к. он весит больше 100кб :с
Вот лог:

[Vvvyg]

Загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в теме.

[4yDak]

http://rgho.st/8K5bpDTbC

[Vvvyg]

Ставьте заплатки для системы, иначе до бесконечности лечиться можно. Эту http://www.catalog.update.microsoft....px?q=KB4012212 в первую очередь и обязательно, в идеале - все обновления.

Затем долечивать.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bl 818DB8AB8F364495A38DE6E00D50F015 406528
addsgn 1A8F7E9A5583DD8CF42B627DA804DEC9E946303A4536D3C184C3C5BCA2D961619B678757D549244B2B80846D4906643A0D9BE8995863B32C2D775620D72B9A03 8 Win32/BitCoinMiner.D [ESET-NOD32] 7
chklst
delvir
deldir %SystemDrive%\PROGRAMDATA\FRAMEWORK
delref %Sys32%\DRIVERS\UZI2NDA2.SYS
cexec sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
cexec sc.exe config mrxsmb10 start= disabled
apply
deltmp
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сделайте новый полный образ автозапуска uVS, загрузите и дайте ссылку.

[4yDak]

http://rgho.st/8sSNvJHrs

[Vvvyg]

Чисто.

Рекомендую удалить SpyHunter, бесполезная программа.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 2
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\programdata\framework\windows driver.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.hxao
  2. c:\programdata\windowssql\com surrogate.exe - Trojan.VBS.Agent.ajd