Майнер, отказ в запуске AVZ [HEUR:Trojan.Win32.Miner.gen, Trojan.Win32.Autoit.acbae]

[armag1ddon]

начнем, понял что на компьютере стоит майнер, когда оставил програму msi afterburner и отошел, затем случайно вижу, что в простое видеокарта загружена на 100%.
Второе, начал копаться, скачал авз, как старого помощника, он не открылся, скачал Rkill, отчет прикрепил. Файл hosts был скрыт в системной папке, открыл через командную строку и вычистил все, кроме локалхоста, получил доступ к сайтам по борьбе с вирусами
Не знаю как прикрепить отчет с автологгера, но могу запустить avz c параметрами AM=Y
Прикрепил отчет hijack
Прикрепил отчет из avz из готовых скриптов
А, еще, вытащил интернет кабель, в простое в течении 5минут видеокарта не нагружалась

[Info_bot]

Уважаемый(ая) armag1ddon, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\ProgramData\RealtekHD\taskhost.exe');
 TerminateProcessByName('C:\ProgramData\RealtekHD\taskhostw.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\AppModule.exe');
 TerminateProcessByName('C:\ProgramData\WindowsTask\MicrosoftHost.exe');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\AppModule.exe', '');
 QuarantineFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Wininet\Taskhost" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Wininet\Taskhostw" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\RealtekHD\taskhost.exe', '32');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\WindowsTask\AppModule.exe', '32');
 DeleteFile('C:\ProgramData\WindowsTask\MicrosoftHost.exe', '32');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Wininet\Cleaner', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:


Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.


Сделайте логи по правилам. (CollectionLog)

[armag1ddon]

Файл загрузил, на данный момент нагрузка ГП не скачет. Подскажите, как еще удалить вот это, прикрепил скриншотScreenshot_1.png. Ошибка-отказ в доступе, не хватает прав и т.п.

[Sandor]

Сделайте логи по правилам. (CollectionLog)

Жду.

[armag1ddon]

извините, не заметил последнее действие

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[armag1ddon]

готово

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  Start::
  CreateRestorePoint:
  HKLM\...\Run: [**del.SecurityHealth] =>  [X]
  HKLM\...\Run: [**del.WindowsDefender] =>  [X]
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Task: {69712F21-B19C-4F32-BB10-5A66E12C20B3} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
  Task: {A4029A99-FAC6-440D-AE07-F0342F262460} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-1893062950-2365202915-2586925899-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\Norton
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\McAfee
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\grizzly
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\ESET
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\Doctor Web
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\ProgramData\360safe
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files\Common Files\McAfee
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\Panda Security
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\Cezurity
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\AVG
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\Program Files (x86)\360
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 __SHD C:\AdwCleaner
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 ____D C:\Windows\speechstracing
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 ____D C:\ProgramData\MB3Install
  2020-06-04 17:36 - 2020-06-04 17:36 - 000000000 ____D C:\ProgramData\Malwarebytes
  2020-06-04 17:35 - 2020-06-18 14:06 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-06-04 17:35 - 2020-06-18 14:06 - 000000000 __SHD C:\ProgramData\RealtekHD
  2020-06-04 17:35 - 2020-06-04 17:37 - 000000000 __SHD C:\ProgramData\Setup
  2020-06-04 17:35 - 2020-06-04 17:35 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-06-04 17:35 - 2020-06-04 17:35 - 000000000 ____D C:\ProgramData\System32
  FirewallRules: [{602324CA-526D-429F-91C0-814BB802C610}] => (Allow) LPort=27015
  FirewallRules: [{805C9970-3627-4D09-A0D6-AB8CAC86C788}] => (Block) LPort=445
  FirewallRules: [{33832141-5448-40A6-9232-51387D232779}] => (Block) LPort=445
  FirewallRules: [{9E4EBB7D-0EC1-418B-81E1-A2A45E6148A5}] => (Block) LPort=139
  FirewallRules: [{4F6E19FD-5470-4879-A0E0-E012F8AE8D08}] => (Block) LPort=139
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

[armag1ddon]

готово

[Sandor]

Если проблема решена, завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[armag1ddon]

Готово. Спасибо за помощь, я и моя видеокарта вам благодарны. Есть ли какие либо туториалы для антивирусной борьбы в целом? или это нарабатывается практикой?

[Sandor]

-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
SoftEther VPN Client v.4.32.9731 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
MY.GAMES Игровой центр v.4.1576 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Есть ли какие либо туториалы для антивирусной борьбы в целом?

Можете попробовать пройти обучение.
Также в конце в сообщении робота будет ссылка на общие рекомендации.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 4
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\programdata\realtekhd\taskhostw.exe - Trojan.Win32.Autoit=
     =2Eacbae ( AVAST4: Win64:Malware-gen )
  2. c:\programdata\windowstask\appmodule.exe - HEUR:Trojan.Win32=
     =2EMiner.gen ( AVAST4: Win64:Malware-gen )
  3. c:\programdata\windowstask\microsofthost.exe - HEUR:Trojan.W=
     in32.Miner.gen ( AVAST4: Win64:Malware-gen )
  4. c:\programdata\windowstask\winlogon.exe - Trojan.Win32.Autoi=
     t.acbae ( AVAST4: Win32:Malware-gen )