Помогите устранить скрытый майнер

**ilyalev** · 05.11.2021, 12:03

Не могу удалить скрытый майнер с ПК. Изначально не мог поставить CureIt, Malwarebytes и ESET. После прогона ESET Online Scanner, AVbr и удаления некоторых директорий через cmd, смог поставить cureIt, но он не помог, майнер всё ещё есть - видно по скачкам загрузки GPU 2 раза в секунду 0-70% через Radeon Software, так же пытался вручную создать папку в Program Files Malwarebytes, но проводник говорит, что такая папка уже создана, хотя даже с включенным отображением скрытых папок её нету(Дата создания папки 27.09 - видимо тогда и установился вирус). После прогона AVbr нашло пользователя John, которого я удалил. Бьюсь второй день, не могу справиться. Логи приложил.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 05.11.2021, 12:07

Уважаемый(ая) ilyalev, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Sandor** · 05.11.2021, 13:49

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**ilyalev** · 05.11.2021, 14:09

Сделал

**Sandor** · 05.11.2021, 14:19

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1008484430-3777987183-3485433514-1001\...\MountPoints2: {63acde65-274e-11ea-b782-309c2345c278} - "D:\autorun.exe" 
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {014597BC-D6B2-45B4-84FB-D9FF3A44DC11} - System32\Tasks\EmmcRqiTblPbWiG2 => rundll32 "C:\Program Files (x86)\MSPGLsQQU\OpQXuI.dll",#1
Task: {0AA0F80B-56D5-4271-91E6-94CE30242EBC} - \KnUggjbCzkENXM -> Нет файла <==== ВНИМАНИЕ
Task: {1181CFA7-792A-4660-A5D4-1BE32BA7A690} - \DHnJtwLICLToHNKSY2 -> Нет файла <==== ВНИМАНИЕ
Task: {126E2565-F424-4867-8952-732099E8B93A} - \wspkbauenPuHWSZ2 -> Нет файла <==== ВНИМАНИЕ
Task: {19362182-36EB-4C3F-AE11-2EEBCDCE2C1B} - System32\Tasks\biHVDzweEpSEYo => rundll32 "C:\Program Files (x86)\SdjnHrhtSkTU2\ROJpfQJXsuhId.dll",#1
Task: {5618BEBE-E8E1-4784-961E-6FD09FEF7625} - System32\Tasks\yVYXrfKWaHMrkVCKGDj2 => rundll32 "C:\Program Files (x86)\tNQhgnHPutUZC\KAAjVFS.dll",#1
Task: {56D8E7C8-1546-4B31-BFA7-3067ADFBB118} - \gtCZMzYfd -> Нет файла <==== ВНИМАНИЕ
Task: {A1CF4482-79A8-4EE6-B541-F88E214044FD} - System32\Tasks\GYURixpfjcyPR2 => C:\WINDOWS\system32\wscript.exe "C:\ProgramData\PPLKuNbFlDHeVQVB\jkgMGlt.wsf"
Task: {B82ADB40-21CD-411C-8F5A-DA576CCED541} - System32\Tasks\RbiEEjLZyATOqzzPu2 => rundll32 "C:\Program Files (x86)\SxHJDkrLaKCDwQANMaR\rKNLahi.dll",#1
Task: {D92BA74B-5183-4164-B062-E4886C8F1131} - \CuuLzPpumRCshjvNvMW2 -> Нет файла <==== ВНИМАНИЕ
Task: {EB7FB682-E0EC-4066-89B0-6987A1A9EEC7} - \ITUoxAHvWuVjf2 -> Нет файла <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
FirewallRules: [{9CBD747F-7225-4B91-BFE2-9E8FD7DD3D20}] => (Allow) LPort=1688
FirewallRules: [{A95B783F-E5EE-4627-9799-771229BB31CF}] => (Allow) LPort=445
FirewallRules: [{F3EC0F02-D8E6-4399-A8ED-9CF4121178F7}] => (Allow) LPort=33060
FirewallRules: [{DA00375B-B949-42D7-B4DA-A7C19072D431}] => (Allow) LPort=3306
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**ilyalev** · 05.11.2021, 14:38

Сделал, единственное, что пришлось перезагружать с ресетом - 8 минут ПК висел, даже питание на мышь и клавиатуру не было.

**Sandor** · 05.11.2021, 14:52

Путь

C:\Users\lkwat\AppData\Local\Temp\files

уберите из исключений Защитника.

Malwarebytes version 4.4.10.144 есть в перечне установленных программ. Он не работает?

**ilyalev** · 05.11.2021, 15:27

Убрал, мбайтс вот такое сообщение выдаёт, с настройками доступа и безопасности уже в нескольких вариациях пробовал.

**Sandor** · 05.11.2021, 15:34

Пробуйте так очистить:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

**ilyalev** · 05.11.2021, 15:39

После нажатия кнопки "Да", приложение просто закрывается

**Sandor** · 05.11.2021, 15:43

Удалите старые и соберите новые логи FRST.txt и Addition.txt, только отметьте галочкой "90 дней".

**ilyalev** · 05.11.2021, 15:55

Прикрепляю обновленные файлы

**Sandor** · 05.11.2021, 16:16

Деинсталлируйте (временно):

AnVir Task Manager
CCleaner

Если в папке C:\Users\lkwat\Desktop\AV_block_remover сохранился отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
2021-09-27 14:42 - 2021-11-05 10:27 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-09-27 14:42 - 2021-11-05 10:27 - 000000000 ____D C:\Program Files\Malwarebytes
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

**ilyalev** · 05.11.2021, 16:33

Деинсталлировал, прогнал FRST заново

**Sandor** · 05.11.2021, 16:45

Лог AV block remove почти пустой. То есть утилита либо не отработала, либо была преждевременно закрыта.

Пробуйте запустить Malwarebytes Support Tool.

- - - - -Добавлено - - - - -

Мне нужно уйти. Если коллеги не ответят быстро, я буду здесь позже.

**ilyalev** · 05.11.2021, 17:58

MalwareBytes заработал, уже идёт проверка, если найдёт майнер, отпишу, спасибо!

- - - - -Добавлено - - - - -

MalwareBytes прогнал, он обнаружил некоторые незначительные угрозы, но сайлент майнер по прежнему активен

- - - - -Добавлено - - - - -

Притом в msconfig при выборе диагностического запуска, автоматически включается выборочный с системными службами + автозагрузкой. Как бы я не пытался, всегда так происходит

- - - - -Добавлено - - - - -

Еще такая ошибка появилась

**Sandor** · 06.11.2021, 16:32

Давайте ещё такой лог посмотрим:
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

**ilyalev** · 06.11.2021, 17:13

https://drive.google.com/drive/folde...cp?usp=sharing, если я правильно понял, то это полный лог автозапуска.

**Sandor** · 06.11.2021, 21:59

Плохого по логам не видно.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
```
Start::
cmd: sfc /scannow
End::
```
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите (может выполняться долго). Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.