Зачистка после установки вирусного ПО [Trojan.MSIL.Agent.fpar, not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen ]

**webdesigner** · 16.03.2018, 11:21

Здравствуйте! Скачал установочный файл программы HDD regenerator с какого-то левого сайта, а в месте с ним установился вирус (сервисы mail.ru, IOBit и прочие), вшились разные расширения в google chrome, разные ярлыки игр появились на рабочем столе. Часть программ удалил через ccleaner, часть зачистил через adwcleaner, какие-то папки которые появились сегодня после установки данного ПО удалил вручную, но наверняка остатки вируса где-то ещё остались. Прошу помощи чтобы окончательно удалить вирус. Архив AutoLogger прикрепляю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.03.2018, 11:23

Уважаемый(ая) webdesigner, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.03.2018, 12:49

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\program files (x86)\nas host\nashost.exe');
 QuarantineFile('c:\program files (x86)\nas host\nashost.exe', '');
 QuarantineFile('C:\ProgramData\onedrive.exe', '');
 QuarantineFile('C:\Users\miner\appdata\local\optimizer\optimizer.exe', '');
 QuarantineFile('C:\Users\miner\AppData\Roaming\JAyNOAo.exe', '');
 QuarantineFile('C:\Windows\SysWOW64\OledewAl.exe', '');
 DeleteFile('c:\program files (x86)\nas host\nashost.exe', '32');
 DeleteFile('C:\ProgramData\onedrive.exe', '32');
 DeleteFile('C:\Users\miner\appdata\local\optimizer\optimizer.exe', '32');
 DeleteFile('C:\Users\miner\AppData\Roaming\JAyNOAo.exe', '32');
 DeleteFile('C:\Windows\SysWOW64\OledewAl.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "{6E31FDAD-D6D3-4C3C-B270-61A49E6DC539}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{A2FDBE59-21BE-4DAA-ACB2-FFB13344C004}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ASC8_SkipUac_miner" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "OneDriveUpdateTaskMachine" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Uninstaller_SkipUac_miner" /F', 0, 15000, true);
 DeleteFileMask('"c:\users\miner', '*', true);
 DeleteFileMask('c:\program files (x86)\iobit', '*', true);
 DeleteFileMask('c:\program files (x86)\nas host', '*', true);
 DeleteFileMask('c:\users\miner', '*', true);
 DeleteDirectory('"c:\users\miner');
 DeleteDirectory('c:\program files (x86)\iobit');
 DeleteDirectory('c:\program files (x86)\nas host');
 DeleteDirectory('c:\users\miner');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NAS Host');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**webdesigner** · 17.03.2018, 17:58

Скрипт в AVZ удалось выполнить только в безопасном режиме. В обычном режиме программа сразу закрывалась после запуска.
Файл сохранён как 180317_145456_quarantine_5aad2c40e6e90.zip
Размер файла 614546
MD5 a5ca92d81f40a29200f6b817b1a2a40e
После перезаргузки системы с рабочего стола исчезла половина ярлыков и сбросились настройки google chrome, bittorent, utorrent. Через некоторое время компьютер подвис, после перезагрузки системы снова пропали ярлыки с рабочего стола и сбросились настройки google chrome, bittorent, utorrent.
Отчеты FRST.txt, Addition.txt прикрепляю.

**Vvvyg** · 17.03.2018, 20:38

Откройте диск C:, правой кнопкой мыши на папке Пользователи, вкладка "Предыдущие версии", выберите созданную сегодня копию и нажмите "Восстановить".
Мой косяк, имя пользователя Miner совпало с именем папки майнера, сгенерился скрипт, удаливший профиль

**webdesigner** · 17.03.2018, 21:55

А я то думаю почему у меня каждый раз рабочий стол сбрасывается! По остаткам следов от вируса что ?

**Vvvyg** · 17.03.2018, 22:04

Профиль восстановился? По мелочам ещё кое-что осталось.

**webdesigner** · 18.03.2018, 11:11

Нет, профиль не восстановился.

**Vvvyg** · 18.03.2018, 12:23

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Virustotal: C:\ProgramData\updater.exe
2018-03-16 11:31 - 2018-03-15 16:57 - 001097216 _____ C:\ProgramData\updater.exe
File:  C:\Users\miner\ntuser.ini
Virustotal: C:\Program Files (x86)\Common Files\igkNYEHym.exe
1623-04-04 12:34 - 1623-04-04 12:34 - 000186368 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\igkNYEHym.exe
Task: {51803146-9ED2-40FC-9BD9-C61A47E7705F} - System32\Tasks\ASC8_SkipUac_miner => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
Task: {9102D964-C90B-4A1B-B932-35B8E1CEB535} - System32\Tasks\OneDriveUpdateTaskMachine => C:\ProgramData\onedrive.exe <==== ATTENTION
Task: {A22D2618-CCB5-418A-89F7-FAB4AFA5134E} - System32\Tasks\Uninstaller_SkipUac_miner => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
Task: {A234F382-D19E-4FE2-BD4E-07AE4BF9CC8E} - System32\Tasks\{6E31FDAD-D6D3-4C3C-B270-61A49E6DC539} => C:\Windows\SysWOW64\OledewAl.exe
Task: {F7F3C72D-45E1-4A5D-86EF-A85AC98773EB} - System32\Tasks\{A2FDBE59-21BE-4DAA-ACB2-FFB13344C004} => C:\Users\miner\AppData\Roaming\JAyNOAo.exe <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [438]
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**webdesigner** · 18.03.2018, 15:15

После перезагрузки профиль так и не восстановился. Похоже вирус где-то ещё сидит. Комп жутко тормозит. Ещё никакие приложения не запустил, а память уже наполовину загружена. Видимо переустанавливать систему придётся.

**Vvvyg** · 18.03.2018, 16:07

Трояны дочистили. Попробуйте создать нового пользователя в системе и зайти под ним.

**webdesigner** · 18.03.2018, 16:19

А старая что, уже не будет нормально функционировать?

**Vvvyg** · 18.03.2018, 16:25

Видимо, нет, резервной копии не было.

**webdesigner** · 18.03.2018, 16:37

Ясно. Ну тогда переустановка винды.

**Vvvyg** · 18.03.2018, 16:47

После установки проверьте уязвимости.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
И по ссылкам в файле обновляйте всё найденное. А лучше сначала обновить систему по полной, а затем уже уязвимости искать.

**webdesigner** · 18.03.2018, 17:31

Спасибо!

**CyberHelper** · 18.03.2018, 17:41

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 4
В ходе лечения обнаружены вредоносные программы:
1. c:\program files (x86)\nas host\nashost.exe - Trojan.MSIL.Agent.fpar ( BitDefender: Backdoor.MSIL.Agent.GD )
2. c:\users\miner\appdata\local\optimizer\optimizer.e xe - not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen

Зачистка после установки вирусного ПО [Trojan.MSIL.Agent.fpar, not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen ] (заявка № 218111)

Опции темы