Устранить последствия работы вируса-майнера (taskhostw)

[Sirius34]

Здравствуйте!

После установки обновления для игры "в нагрузку" получил вирус-майнер (taskhostw).
Собственно, проблема проявилась сразу, т.к. резко возросла нагрузка на процессор и видеокарту.
Перезагрузившись с флэшки со свежеустановленным KRD, вычистил все зараженные файлы.
Потом подчистил hosts и перезагрузился. Поправил настройки времени и часового пояса (были сбиты).
Вроде бы всё хорошо, но...
В списке пользователей нашелся некий "john", которого я точно не создавал, и которому, как ни странно, были даны
права на удаленный доступ к системе.
Пользователя я "грохнул" из системы, но подозреваю, что это не последний сюрприз из списка "подаренных вирусом"...
Прошу оказать помощь в устранении последствий.

Заранее спасибо!

[Info_bot]

Уважаемый(ая) Sirius34, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[thyrex]

Выполните скрипт в AVZ из папки Autologger

Код:

{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Sirius34]

Файл карантина отправил (там пустой архив).
Отчет Autologger прилагаю.

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Sirius34]

Сделал

[thyrex]

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-3589202316-1686954967-478168583-1001\...\MountPoints2: {218759b4-e7cd-11e7-804b-20cf309a44bc} - "H:\autorun.exe" 
HKU\S-1-5-21-3589202316-1686954967-478168583-1001\...\MountPoints2: {59de882c-3ca3-11eb-80d9-e0d55eeb48fb} - "J:\SISetup.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {D9DF4AA1-322C-47D8-81B2-869159C0BB52} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {E61B5AB8-7793-4A06-8A5B-0B654E01C8A0} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {F6FCB097-185B-41BC-A64F-E1B96DFCE7FD} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
FF Plugin HKU\S-1-5-21-3589202316-1686954967-478168583-1001: @acestream.net/acestreamplugin,version=3.1.20.2 -> C:\Users\Siriu\AppData\Roaming\ACEStream\player\npace_plugin.dll [2017-01-13] (Innovative Digital Technologies -> Innovative Digital Technologies)
FirewallRules: [{F77300D6-AED0-4C14-AF2F-53C6698FF66B}] => (Allow) D:\SteamLibrary\steamapps\common\FarCry5\bin\ArcadeEditor64.exe => No File
FirewallRules: [{17A75DFB-D2A6-4C16-8CD3-56377418DD4D}] => (Allow) D:\SteamLibrary\steamapps\common\FarCry5\bin\ArcadeEditor64.exe => No File
FirewallRules: [UDP Query User{2655D383-0C5B-48B2-AE4E-111226D1703A}C:\games\sgw3\win_x64\sgw3.exe] => (Allow) C:\games\sgw3\win_x64\sgw3.exe => No File
FirewallRules: [TCP Query User{5DE1E182-998A-4FBA-9302-2A8CDD01DAE6}C:\games\sgw3\win_x64\sgw3.exe] => (Allow) C:\games\sgw3\win_x64\sgw3.exe => No File
FirewallRules: [UDP Query User{447CD613-4008-458B-8C6D-1561B41E3230}C:\games\sgw3\win_x64\sgw3.exe] => (Allow) C:\games\sgw3\win_x64\sgw3.exe => No File
FirewallRules: [TCP Query User{76A478CD-E9DD-4BAC-A6A0-104E79FAAC03}C:\games\sgw3\win_x64\sgw3.exe] => (Allow) C:\games\sgw3\win_x64\sgw3.exe => No File
FirewallRules: [{839E0F41-37DA-45C8-8A8D-1A38B4B781CA}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{F0A823F2-7143-4EDB-AC57-DB5D8B768387}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{C1AC9922-A4BA-42DD-B0D9-DC0E9FD4B92B}F:\consultantplus\vr401921.res] => (Allow) F:\consultantplus\vr401921.res => No File
FirewallRules: [UDP Query User{7D2A5C4D-1EB7-4087-824E-A72A7697AA38}F:\consultantplus\vr401921.res] => (Allow) F:\consultantplus\vr401921.res => No File
FirewallRules: [{AF0467DC-FF65-43BE-B550-CDC574DE35F7}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{BAD8A828-5B0E-43F4-A2E6-10017C975DB4}] => (Block) LPort=445
FirewallRules: [{29A8BDC1-3082-409B-952C-0195ADA428E2}] => (Block) LPort=445
FirewallRules: [{0ABD73C0-8D89-4F9A-BD40-F16BD1DEAFE0}] => (Block) LPort=139
FirewallRules: [{C48AE97C-8062-403C-B7B3-3F1029C381FE}] => (Block) LPort=139
FirewallRules: [{3D3DE2D1-D3C9-477D-98BD-275B3FA6AF7E}] => (Allow) LPort=3389
FirewallRules: [{2B9EBE6D-B661-420D-B3BE-05755802A1FC}] => (Allow) LPort=3389
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Sirius34]

Сделал

[thyrex]

Проблема решена?

[Sirius34]

Проблема решена?

Явных ошибок и проблем не увидел.
Спасибо большое за помощь!