Trojan:JS/CoinHive.A

[AnMUTiG]

Доброго времени суток столкнулся с проблемой: Защитник Windows 10 обнаружил вирус Trojan:JS/CoinHive.A в папке C:\Users\Evgen\AppData\Local\Yandex\YandexBrowser\ User Data\Default\Cache\f_01b085 и поместил в карантин. Не могли бы вы помочь удалить источник этого файла, если такой имеется.
Так же частенько появляется новый файл от HackTool:Win32/AutoKMS, раньше пробовал удалять, но ни к чему не привело, все равно появляется.

[Info_bot]

Уважаемый(ая) AnMUTiG, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

• Скачайте ClearLNK и сохраните архив с утилитой на рабочем столе.
• Распакуйте архив с утилитой в отдельную папку.
• Перенесите Check_Browsers_LNK.log на ClearLNK как показано на рисунке
  
  
  
• Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
• Прикрепите этот отчет к своему следующему сообщению.

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

- Подготовьте лог AdwCleaner и приложите его в теме.

[AnMUTiG]

результаты:

[SQ]

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[AnMUTiG]

была лишь одна строка, удалил

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[AnMUTiG]

В файле addition.txt часто повторяется "Проверка, выполняемая Антивирусная программа "Защитник Windows", была остановлена до полного завершения." хотя 26.04.2019 я несколько раз запускал проверку, в том числе и полную проверку компьютера, никаких проблем он мне не выдал. А обнаружил вирус он, я так понимаю, случайно. Потому что я удалил папку C:\Users\Evgen\AppData\Local\Yandex, а затем восстановил ее из корзины, после чего вирус и был обнаружен.

[SQ]

Вам знакома ли следующее?

Код:

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  CustomCLSID: HKU\S-1-5-21-1815923499-943020617-1807992480-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Evgen\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1815923499-943020617-1807992480-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Evgen\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => No File
  CustomCLSID: HKU\S-1-5-21-1815923499-943020617-1807992480-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Evgen\AppData\Local\Microsoft\OneDrive\18.143.0717.0002\amd64\FileSyncShell64.dll => No File
  File: C:\Windows\ntbtlog.txt
  Folder: C:\ProgramData\TruckersMP
  AlternateDataStreams: C:\Users\Evgen:Heroes & Generals [38]
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [209]
  AlternateDataStreams: C:\Users\Evgen\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Evgen\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [209]
  FirewallRules: [{E5C23D5F-D35C-46E8-8F2C-3331CF18CFEA}] => (Allow) C:\Games\MailRu\ArcheAge\Bin32\archeage.exe No File
  FirewallRules: [{3750464E-4F39-42A7-A56D-EFE173685C7B}] => (Allow) C:\Games\MailRu\ArcheAge\Bin32\archeage.exe No File
  FirewallRules: [{A5479C2B-036D-4293-8FEA-885A741E6334}] => (Allow) D:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{BD0BCD20-63B6-462A-BD29-B44D1168BBC0}] => (Allow) D:\Games\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
  FirewallRules: [{F24CAE1E-3E8D-42C2-95BA-09FEA2939689}] => (Allow) D:\Games\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe No File
  FirewallRules: [{32118079-5910-4B22-B575-101C9C98A222}] => (Allow) D:\Games\Steam\steamapps\common\A Story About My Uncle\Binaries\Win32\ASAMU-Win32-Shipping.exe No File
  FirewallRules: [TCP Query User{E2DFAE16-B087-41DE-AC11-F7139282C3B1}D:\games\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) D:\games\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe No File
  FirewallRules: [UDP Query User{1878E04B-5B67-4024-B85D-FCFBC1FD233F}D:\games\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe] => (Allow) D:\games\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe No File
  FirewallRules: [TCP Query User{B655BF0E-3764-4B88-9A99-A58E36512777}D:\games\world_of_tanks_pts\wotlauncher.exe] => (Allow) D:\games\world_of_tanks_pts\wotlauncher.exe No File
  FirewallRules: [UDP Query User{B529719F-85D5-4161-B16F-DF0F3FAE1A40}D:\games\world_of_tanks_pts\wotlauncher.exe] => (Allow) D:\games\world_of_tanks_pts\wotlauncher.exe No File
  FirewallRules: [TCP Query User{4B2EA2DC-1589-4122-B1C2-E5BB7B5287ED}D:\games\world_of_tanks_pts\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_pts\worldoftanks.exe No File
  FirewallRules: [UDP Query User{F84FB473-3DBE-43B5-9B29-47FAC94030F7}D:\games\world_of_tanks_pts\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_pts\worldoftanks.exe No File
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[AnMUTiG]

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
это мне не знакомо, Mozilla я не устанавливал

[SQ]

это мне не знакомо, Mozilla я не устанавливал

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[AnMUTiG]

сделал

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[AnMUTiG]

Архив слишком большой, чтобы его отправить здесь (752 КБ). Текстовый файл 17 МБ. Добавить в архив с максимальным сжатием тоже не помогает

[SQ]

Удалите старые вложения Мой кабинет => Вложения. Заархивируйте пожалуйста в zip или 7z.

[AnMUTiG]

uvs

[SQ]

В логах ничего плохого не увидел.

- - - - -Добавлено - - - - -

Сообщите, что с проблемой?

[AnMUTiG]

Windows защитник "проругался" на все тот же файл только что, потому что я его попробовал восстановить, и снова добавил на карантин. Если на этом все, то большое спасибо за вашу помощь

[SQ]

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 0
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB