Вирус-шпион, майнер

**alexpot** · 30.10.2020, 18:33

Добрый день, подхватил где-то майнер, который загружал систему, майнер я своими силами кое-как обезвредил(нашел похожий скрипт на этом сайте).

Дня через 2 после удаления майнера мне пришло уведомление системы безопасности гугл о том, что замечены подозрительные действия: "запущено подозрительное приложение". (Без указания на то, что это за приложение и когда запущено)

Оказалось, что помимо майнера в системе сидел еще или троян с удаленным доступом или еще какая-то зараза, которая имела доступ напрямую в браузер Мозила(т.к. у меня стоит двухфакторная аутентификация). Все пароли на всех сайтах я поменял, без сохранения их в память браузера. После этого я переустановил систему, диск с предыдущей системой отформатировал, оставив только папку с данными с рабочего стола и загрузок(сохранил их на другой диск). Спустя неделю я получаю повторное предупреждение системы безопасности гугл, и хоть браузер теперь с новым профилем, пароли не сохранял в него, пароли все заменены, а доступ до сих пор через двухфакторную аутентификацию, в связи с чем начали появляться сомнения, что удаленный доступ умудрился остаться после переустановки системы.

(Если это поможет, майнер прятался в ВиндовсТаск и РеалтекХД, кроме того был изменен файл хост, с добавлением ряда сайтов(в том числе вирусинфо, сайты для загрузки антивирусов, также был изменен реестр с запретом запуска антивирусных программ. Ну и еще пока я не удалил майнер в процессах всплывал rutserv.exe)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.10.2020, 18:38

Уважаемый(ая) alexpot, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**thyrex** · 30.10.2020, 19:00

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-4018696425-260756982-3349593648-500 - C:\Users\sawa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-506772278-3762897600-2971389503-500 - C:\Users\sawa\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ClientTask - C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Client"
O22 - Task: \Microsoft\Windows\SMB\UninstallSMB1ServerTask - C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy Unrestricted -NonInteractive -NoProfile -WindowStyle Hidden "& C:\Windows\system32\WindowsPowerShell\v1.0\Modules\SmbShare\DisableUnusedSmb1.ps1 -Scenario Server"

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**alexpot** · 30.10.2020, 19:25

"Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке"

Прошу прощения, какая это функция?

Апдейт. Функцию нашел. Сейчас еще раз загружу логи.

- - - - -Добавлено - - - - -

Новые логи после фикса в хайджек

**thyrex** · 30.10.2020, 22:21

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**alexpot** · 31.10.2020, 07:35

Прикрепляю файлы

Также хотелось бы уточнить, проверка через Фарбар происходит только на диске C(который я форматировал до переустановки системы), подозрения касаются файлов, на других дисках(которые я не форматировал). Можно ли как-то запустить проверку Фарбаром других дисков, а не только диска С, или это не имеет смысла, если на диске С нет странных исполнительных файлов?

**thyrex** · 31.10.2020, 17:39

А лог FRST.txt зачем редактировали?

**alexpot** · 31.10.2020, 18:06

Я не редактировал его. Сейчас повторно запущу проверку.

- - - - -Добавлено - - - - -

Прикладываю повторную проверку.

**thyrex** · 31.10.2020, 18:17

По логам в целом ничего критичного не замечено.

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-4018696425-260756982-3349593648-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**alexpot** · 31.10.2020, 18:32

Прикрепляю файл после фикса.

Вирус-шпион, майнер (заявка № 225830)

Опции темы