Помогите добить майнер :) [Trojan-Banker.Win32.Banbra.wojq, Trojan.BAT.Agent.bbf]

[SQ]

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  Zip:c:\windows\web\c3.bat
  Folder: c:\windows\web
  c:\windows\web\c3.bat
  c:\windows\web\n.VBS

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

[sTeeL42rus]

Готово.

Карантин не загрузился:
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"

Изменить имя архива на минуту позже?

[SQ]

карантин пустой, пробуйте загрузиться в нормальный режим. Также пройдитесь утилитой KVRT, только после того как установите обновления.

Код:

"c:\windows\web\c3.bat" => not found

Сообщите по окончанию, что с проблемой?

[sTeeL42rus]

Спасибо большое заранее, за Ваше потраченное время. Сначала пробегусь ещё раз вручную по реестру и попробую без подключения к сети запустить обновления. Отпишусь по результатам.

- - - - -Добавлено - - - - -

Прошёлся по автозагрузке в реестре - всё ок
Прогнал cureit - удалил downloader'ов
Вложение 674741
Прогнал KVRT - кроме вирусов в архиве нашёл какой-то в корзине
Вложение 674742
Прогнал ещё раз Вашими утилитами, ничего подозрительного не увидел.

После этого загрузился с отключенной витой парой от сетевой, запустил обновление kb4012212, всё ок, перезагрузился. kb4012215 не установилось, выдало ошибку, что не подходит для моего ПК, хотят качал аналогично как и kb4012212 для Win7 x64. Загрузился в БР (безопасном режиме), подключил инет, скачал демо-версию касперского, из БР он не ставится, загрузился с отключенным инетом в обычном режиме, без инета он не устанавливается, подключил, всё время мониторил диспетчер задач, все было ок, на середине загрузки касперский выдал ошибку, что установка не может быть продолжена и что на компьютере вирусы. Перезагрузился и всё по новой... Винду сносить не поможет? Уже готов на такие радикальные меры, хоть и считаю это неправильным.

- - - - -Добавлено - - - - -

В общем, почистил опять всё, чтобы не мешало запускаться нормально, при запуске убил conhost, запустил KVRT. В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a
Сейчас касперский ещё прогоняет дальше после перезагрузки ПК, но никакие левые процессы уже не грузились и проблемные папки тоже без зловредов. Поэтому огромное Вам ещё раз спасибо. Завтра точно уже сообщу результаты и можно закрывать тему.

- - - - -Добавлено - - - - -

Всё, тему можно закрывать. Проблем больше нет, касперский тоже установился. Огромное Вам спасибо за оперативное решение!

[SQ]

Отлично, скорее всего из-за MEM:Rootkit.Win64.DarkGalaxy.a прооблема возращалась, так как он находится в загрузочном секторе.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 20
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\windows\debug\item.dat - HEUR:Trojan.Win32.DiskWriter.gen=
     ( AVAST4: Win32:Trojan-gen )
  2. c:\windows\syswow64\drivers\64.exe - not-a-virus:RiskTool.W=
     in32.BitCoinMiner.jubw ( AVAST4: Win32:Malware-gen )
  3. c:\windows\temp\conhost.exe - Trojan.Win64.Miner.ijc ( A=
     VAST4: Win32:Trojan-gen )
  4. c:\windows\update.exe - HEUR:Trojan.Win32.DiskWriter.gen =
     ( AVAST4: Win32:Malware-gen )
  5. \update.exe - HEUR:Trojan.Win32.DiskWriter.gen ( AVAST4: W=
     in32:Malware-gen )
  6. \zoo\msief.exe._a2fe663fa3f62136abab63694caa4ff15a df704a - Tr=
     ojan-Banker.Win32.Banbra.wojq

[SQ]

В итоге был найден и вылечен MEM:Rootkit.Win64.DarkGalaxy.a

Уточните пожалуйста, проблема случайно не возвращалась?

[sTeeL42rus]

Уточните пожалуйста, проблема случайно не возвращалась?

Добрый вечер. Нет, сейчас всё нормально.

[SQ]

Если проблема вернется то подготовьте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs

[sTeeL42rus]

Если проблема вернется то подготовьте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs

Хорошо. Есть какие-то подозрения, что может вернуться?

[SQ]

Хорошо. Есть какие-то подозрения, что может вернуться?

Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

Код:

MEM:Rootkit.Win64.DarkGalaxy.a

[sTeeL42rus]

Дело в том, что mem означает, что угрозу нашел в памяти, а обычно эта угроза назодится в загрузочном секторе и его можно выловить, только загрузившись с помощью загрузочного диска winpe.

Код:

MEM:Rootkit.Win64.DarkGalaxy.a

Когда KVRT пытался его вылечить, то отправил ПК в ребут и запросил разрешения на действия до входа в пользователя (с помощью контроля учётных записей). Есть шанс, что он мог справиться самостоятельно? Если маловероятно, то я могу загрузиться с winpe, но это ближе к концу недели. Пока я вообще запретил запуск .exe через папку Temp.
Temp.png

[SQ]

Было бы не плохо убедиться, что вредоносного ПО не осталось в загрузочном секторе. Так сказать наверняка не могу, что KVRT справился или нет.