Помощь с лечением после трояна

[socolsk]

Добрый день.

Пару дней назад словил трояна Autoit 1131 и пару подобных (с другими цифрами) + походу еще был майнер. Комп вроде как прочистил, но нет уверенности, что до конца.
Прошу помочь с окончательной очисткой.

[Info_bot]

Уважаемый(ая) socolsk, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2DA56354-08AA-4063-8E20-3BBE1D5E0094} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2DA56354-08AA-4063-8E20-3BBE1D5E0094} - \Microsoft\Windows\UNP\RunCampaignManager (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: \Microsoft\Windows\GlobalDataQ\kHjOBAENmuQQQF11Ub - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\GlobalDataQ\RecoveryHosts - C:\ProgramData\Microsoft\Network\kHjOBAENmuQQQF11Ub\GlobalDataQ.bat (file missing)
O22 - Tasks: \Microsoft\Windows\GlobalDataQ\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryHosts - C:\ProgramData\Microsoft\Network\yvmPT7vqN68e0H7E\MapInfoT.bat (file missing)
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryTask - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\MapInfoT\yvmPT7vqN68e0H7E - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ControlService - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\DataRecovery - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\ExpressCheckUP - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[socolsk]

Прикладываю архив.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Users\paul\AppData\Roaming\Sysfiles
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\WavePad
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\RobotDemo
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\princeton-produce
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\FingerPrint
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\Evernote
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\ESET
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\ProgramData\BookManager
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\Transmission
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\SUPERAntiSpyware
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\RogueKiller
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\QuickCPU
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\Process Hacker 2
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\NETGATE
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files\EnigmaSoft
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\Transmission
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\SpeedFan
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\Moo0
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\IObit
2024-01-24 21:16 - 2024-01-24 21:16 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
2024-01-24 21:15 - 2024-01-25 13:23 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2024-01-24 21:15 - 2024-01-24 21:15 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\Norton
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\McAfee
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\MB3Install
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\Malwarebytes
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\grizzly
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\ProgramData\360safe
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\SpyHunter
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Ravantivirus
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Rainmeter
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Process Lasso
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Malwarebytes
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\HitmanPro
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\ESET
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Enigma Software Group
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\DrWeb
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\COMODO
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Common Files\AV
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Cezurity
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\ByteFence
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files\AVG
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\AVG
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 __SHD C:\Program Files (x86)\360
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 ____D C:\WINDOWS\speechstracing
2024-01-24 21:15 - 2024-01-24 21:15 - 000000000 ____D C:\Users\paul\AppData\Roaming\RMS_settings
2024-01-24 21:14 - 2024-01-25 17:47 - 000000000 __SHD C:\ProgramData\WindowsTask
2024-01-24 21:14 - 2024-01-25 17:47 - 000000000 __SHD C:\ProgramData\Install
2024-01-24 21:14 - 2024-01-25 12:56 - 000000000 __SHD C:\ProgramData\ReaItekHD
2024-01-24 21:14 - 2024-01-24 21:14 - 000000000 __SHD C:\ProgramData\RunDLL
2024-01-24 21:09 - 2024-01-24 22:08 - 000000000 __SHD C:\ProgramData\Setup
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\paul\Application Data:955d2a2f697b1c9b40c63a2dd2b7d393 [394]
FirewallRules: [TCP Query User{565D10BE-851F-4C64-9CD4-67F561FDDBD8}C:\users\paul\appdata\roaming\101xp game center\launcher101xp.exe] => (Allow) C:\users\paul\appdata\roaming\101xp game center\launcher101xp.exe => Нет файла
FirewallRules: [UDP Query User{57AB3766-A61B-4AF9-A718-481B48E79C52}C:\users\paul\appdata\roaming\101xp game center\launcher101xp.exe] => (Allow) C:\users\paul\appdata\roaming\101xp game center\launcher101xp.exe => Нет файла
FirewallRules: [{F0F45EB8-66EF-4972-9D64-B63BEC535E66}] => (Allow) C:\Games\steamapps\common\Warhammer Chaosbane\Exe\Chaosbane.exe => Нет файла
FirewallRules: [{BE81F138-CFA8-462F-B43D-E52B234BD505}] => (Allow) C:\Games\steamapps\common\Warhammer Chaosbane\Exe\Chaosbane.exe => Нет файла
FirewallRules: [{DF8C136E-7D75-4728-8AEE-E8ED1D5FC6A7}] => (Allow) C:\Games\steamapps\common\Warhammer Chaosbane\Exe\ResolutionsOptions.exe => Нет файла
FirewallRules: [{7C963BEE-65F0-4DE6-B25D-E1CAB3558EC5}] => (Allow) C:\Games\steamapps\common\Warhammer Chaosbane\Exe\ResolutionsOptions.exe => Нет файла
FirewallRules: [{E33D3054-C83F-4F6D-BEFD-C15B9CF12370}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{77570B2E-40F3-48EE-8352-01D93AB9315A}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{4C3C8C1B-171E-4160-B2DE-C54B702606AA}] => (Block) LPort=445
FirewallRules: [{4F268EE0-4A3E-44FA-B9A8-E4FF584712CC}] => (Block) LPort=445
FirewallRules: [{E4386606-9004-4DD1-9354-3DF4DB749DD2}] => (Block) LPort=139
FirewallRules: [{D0177AFD-DEF8-4EBC-8BB6-8D9C386FACFF}] => (Block) LPort=139
FirewallRules: [{7E8B1E2F-61CD-40CE-B037-6EE379DFD6F6}] => (Allow) LPort=3389
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

[socolsk]

Фикслог

[Vvvyg]

Ещё одно исправление сделайте в FRST:

Код:

Start::
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
End::

Новый Fixlog.txt прикрепите.

[socolsk]

Фикслог2

[Vvvyg]

Порядок, последствия майнера зачищены.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

[socolsk]

Большое спасибо за проделанную работу и помощь.