Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]

[sapperti]

thyrex, элементы автозагрузки выключил. Сейчас нахожусь в безопасном режиме. Не все папки удалось найти, только "kara"( из перечисленных ), ее благополучно удалил. Также, папка "rdp" вообще отсутствует. Файлы аналогично. Их просто нет, либо попрятались. Файл реестра также удалил.


*Именно, эти файлы
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Nvidiadriver.exe
2018-05-13 14:36 - 2009-07-14 04:14 - 000031232 ___SH C:\Users\Данила\AppData\Roaming\Bot.exe
2018-05-01 14:59 - 2018-05-01 14:59 - 000000002 _____ () C:\Users\Данила\AppData\Local\WMI.ini


Удаленный доступ пользователей запрещен уже давно ( месяц или два ), разрешен только удаленный доступ помощнику "Windows".
Процесс, все равно, возвращается и приходится с ним бороться. Видимо, остались еще папки.
Хотя, странно, опять же, я их удаляю долго, они с каждым разом быстрее и быстрее восстанавливаются, вот сейчас ( 13:24 ) уже 5 минут как успокоились.
Кстати, "Ccleaner" нашел интересный файл в реестре, по крайней мере, расположение у него интересное ( аналогичное "RealtekHD", только в разделе "HKCU", а пути одинаковые ):
https://yadi.sk/i/ZCm4vF7j3Zrwjb ( выложил на "Яндекс.Диск", так как лучше не буду засорять менеджер вложений скриншотами )
Логи "Fixlog.txt":

[thyrex]

Total Commander есть на компьютере? Попробуйте найти недостающие папки и файлы с его помощью, предварительно включив в его настройках показ скрытых и системных файлов и папок

[sapperti]

thyrex, "Total Commander", к сожалению, нет. Но, я скачаю и установлю её.

- - - - -Добавлено - - - - -

Все чисто. Файлов и папок не нашел.

[thyrex]

Ладно, выбора не остается. Запускаем тяжелую артиллерию.

Скачайте ComboFix здесь и сохраните на Рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в [email protected]

[sapperti]

thyrex, надеюсь, что тяжести этой "артиллерии" хватит, чтобы уничтожить заразу. Кстати, встретил в Combofix.txt упоминание знакомого "svchost". Добавление 14:39 - не помогло, процессы запускаются снова и снова...
Логи "Combofix":

[thyrex]

Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt в корень диска С

Код:

KillAll::

Folder::
2018-08-03 10:33 . 2018-08-03 11:06	--------	d-sh--w-	c:\programdata\WindowsTask
2018-08-03 10:33 . 2018-08-03 11:06	--------	d-sh--w-	c:\programdata\RealtekHD

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[sapperti]

thyrex, во время процесса, компьютер перезагрузился, но это было уже на конечной стадии. Надеюсь, что я правильно сделал, что файл "CFScript.txt" перенес на ярлык программы "ComboFix". Но, процессы так и остаются на месте, точнее беспрепятственно продолжают запускаться
Вот, логи "ComboFix.txt":

[thyrex]

Сделайте лог TDSSkiller

Сделайте лог МВАМ

[sapperti]

thyrex, проверку выполнил через "TDSSkiller", воспользовался предложением об удалении троянского ПО - не помогло.
Логи "MBAM" приложить не могу. Программу благополучно установил, а открыть не могу. В диспетчере задач следующая картина: процесс "mbam.exe" появляется, на него расходуется 3900 КБ и после появляется еще один процесс "WerFault", спустя секунд 5, оба процесса пропадают.
Вот логи "TDSSkiller": https://yadi.sk/i/o67VDBdN3ZsaAB ( слишком большой файл, если относить его к общедоступному объему загружаемых файлов )

[thyrex]

Попробуйте лог МВАМ сделать в безопасном режиме

[sapperti]

thyrex, дело в том, что я и делаю все, в последнее время, в безопасном режиме. Даже пользовался справкой специалиста с сайта "safezone" ( надеюсь, я не нарушаю регламент вашего сервиса, что оставляю такой домен здесь ), но его справка не помогла. Я уже устанавливал MBAM ( где-то в апреле или мае ) и работал он хорошо и стабильно, но, после удалил, а теперь такая проблема возникла.



А, хотя, появилась интересная идея: мне, ведь, "Dr. Web Cure It" помогает устранить троянское ПО до перезагрузки; я могу запустить его, устранить угрозу и попробовать запустить "Malwarebytes". Это, ведь, никак не повлияет на конечную отчетность? ( учитывая то, что удаляет он исключительно две исходные папки в разделе "programmdata" и папка в реестре "Run" в итоге, после работы, становится недоступной по ошибке, а файл "RealtekHD" из реестра тоже пропадает )


Проверил этот вариант, но ошибка, как я понимаю, системная, либо открытие запретил "троян", иначе, я не могу объяснить почему эта ошибка снова появляется, ведь, вирус я удалил и ничего не должно препятствовать. Даже окна нет, просто мимолетный процесс ошибки запуска "WerFault.exe" и все.


21:34 - проверил и убедился, что проблема вызвана удалением некоторых файлов. Ошибка: "WindowsUpdate_00009C57" "WindowsUpdate_dt000"
Предлагают скачать и установить "WinThruster", запустить "системные" скрипты или установить какую-либо программу для проверки системных файлов, но я не уверен.

[thyrex]

Пробуйте пролечиться с помощью https://support.kaspersky.ru/viruses/krd18

[sapperti]

thyrex, что-то странное с системой происходит... "WinRar" удалился каким-то образом. Но, я переустановлю, запишу образ и позже сообщу о результатах. Спасибо за наводку.

[thyrex]

Пока идет подготовка, проверьте C:\Windows\system32\ExplorerPlug.dll на virustotal.com и пришлите ссылку на результат

[sapperti]

thyrex, будет выполнено.Но, у меня возникла некоторая проблема с запуском системы с помощью USB-накопителя, не подскажете пожалуйста, как решить ее? Сам раздел "Boot Sequence" состоит из 3 возможных загрузочных накопителей и параметра "Boot From Other Device".
В первом выбираю "USB" ( образ записал через "UltraISO" с типом записи "USB-HDD" ) во втором уже выбрал свой "SSD", а в третьем - "HDD".
В итоге, после сохранения параметров, происходит запуск системы и останавливается на двух строчках:
"No SystemDick. Booting from harddisk.
Start booting from USB device..."
И, загрузка останавливается.

[thyrex]

Никогда не имел дело с загрузочными флешками.

Проверьте пока файл из сообщения №54

[sapperti]

thyrex, извините за задержку, появилась заминка некоторая, вот ссылка на "VirusTotal": https://www.virustotal.com/#/file/79...1fcd/detection

С "Kaspersky Rescue Disck" не получается слаженной работы, то ли, вирус постарался и удалил некоторые функции, которые у меня в BIOS отсутствуют, то ли, я совсем глупый и не правильно что-то делаю.

[thyrex]

Отправлю файл explorerplug.dll в вирлаб. Придется подождать

[sapperti]

thyrex, время для меня не предел, хоть и тратится только на устранение этого вируса. В любом случае, вы занимаетесь филантропской деятельностью за бесплатно, а у меня принцип такой, что любая выполненная работа или та работа, на которую потратили много усилий, которая принесла значимый результат, должна быть оплачена. Просто, я понимаю, что моей жалобе сейчас уделяется много внимания и некоторые специалисты могут просто так тратить своё время, что не очень приятно сказывается на осознании всей ситуации, поэтому, в случае вашего согласия, я могу переслать некоторую сумму всем тем, кто помогал или был активно задействован в решении. Это немного стабилизирует всю ситуацию с моей стороны)

[thyrex]

Случай у Вас просто интереснейший попался, вот и возимся всем миром
Все добровольные переводы только на помощь проекту http://virusinfo.info/content.php?r=...fo.info-donate