Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]
В общем, недавно произошла такая резонная ситуация, в которой я не мог зайти на сайты антивирусного обеспечения, почитал немного об конъюнктуре и осознал, что это троянское ПО или вирусы. Проверил компьютер с помощью "Dr. Web Cure It" и обнаружил более 60 угроз, но, хорошо, что на этом не остановился и решил проверить уже "KVRT", тут ситуация аналогичная, но к основному списку прибавилось еще 3 устойчивые угрозы ( там было 7, на самом деле, но остальные я сумел решить ):
1. c/programmdata/realtekhd ( папка скрытая )/ в ней два файла: taskhostw.exe ( процесс в диспетчере задач аналогично записан и активен постоянно ) и log.txt ( в нем ничего нет ) .
2. c/programmdata/windowstask/ тут тоже два файла: MicrosoftHost.exe ( процесс в диспетчере задач аналогично записан, но возникает на секунд 10 и после пропадает ) и Log.txt ( такой же, как и в папке realtekhd - пустой ).
3. Уже в реестре HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/RealtekHD ( сам файл реестра )
Сначала, я их удалил и не сомневался в своей "победе", но после увидел, что они вернулись на место и работают в привычном режиме.
Начал проверять с помощью "GridinSoft Anti-Malware", он тоже их видит, но при этом, увидел еще кучу троянского ПО ( благо, все, за исключением этих трех файлов удалил )
Сегодня, решил поподробнее узнать о проблеме: попытался отключить точки восстановления, но встретился с ошибкой ( когда клавиши в окне "Защита системы" не работают ) *название не помню, но позже смогу предоставить*, посмотрел видеоролик с возможным устранением причины, но у меня отсутствует служба "Программный поставщик теневого..." и я, честно говоря, вошел в состояние когнитивного диссонанса.
Также, забыл отметить, что в тот, период, когда я начал подробно изучать новоиспеченный майнер ( как раз в самом начале повествования ), я заметил папку нового пользователя "John", хотя его не создавал. Мучался долго, но удалил ( не знаю, рационально поступил или по-волюнтаристки ).
И в период от двух до 5 часов 40 минут занимался устранением. Через "AVZ" ( мне понравились рецензии и частая рекомендация на этом сайте на эту программу ) проверял, но она иногда закрывается. Сейчас, проверяю через "TrojanKiller" ( 14 угроз реальных обнаружено ), позже дам результат и ( логи, если смогу их найти ).
P.S На компьютере стоит "AVG" ( по рекомендации дяди ), в реестре не удалял ничего, кроме RealtekHD ( autorun, как я понимаю, который запускает этот "троян" ), не уверен, что образ самый лучший ( переустанавливал месяцев 5 назад ), были проблемы в начале и ошибки частые. Проблему с доступом к популярным сервисам сайтам с антивирусным ПО решил. И, я готов делать все, что скажете, если это понадобится. Иногда могут самопроизвольно закрыться программы по типу: "Свойства папки"/"Диспетчер задач"/Антивирус любой.
P.S.2 Пытался еще установить "ESET Nod32" ( тоже по рекомендациям ), но он не устанавливается. Наверно, из-за конфликта с "AVG". С "MalwareBytes" история интересней, так как я столкнулся с ошибкой после нажатия кнопки в окне установщик "Продолжить и установить". Ошибка: "CreateFile сбой доступа код 5..." Удалил старую папку "MalwareBytes" и смог установить новую версию ( с офф. сайта ), но запустить не могу: в диспетчере задач она появляется, а потом сама закрывается, даже окно на рабочем столе не появляется.
P.S.3 ( добавлено в 19:06 ) Сам по себе вирус, работает и восстанавливается без интернет-подключения.
Приложение: надеюсь, поможете, не очень хочется переустанавливать ОС, несмотря на имеющиеся ошибки, но, даже если и не получится, то я не огорчусь. ( не лень, а желание выявить способ устранения этой проблемы, вдруг столкнусь в будущем )
Так-то, получается, что я удаляю действительно вирус, но при этом, не могу найти и удалить другой вирус, который выполняет репродуктивную функцию и восстанавливает этот.
18:31 - вложение прикрепил.
Заранее, огромное спасибо!
Последний раз редактировалось sapperti; 29.07.2018 в 20:31.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sapperti, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Aleksandra, в действительности логи практически невозможно сделать, если не вмешиваться в процесс. Taskhostw.exe
( вкупе с MicrosoftHost.exe ) запускается и самостоятельно закрывает сначала Диспетчер задач, а после AutoLogger ( если бездействовать ), поэтому пришлось его постоянно прерывать, надеюсь это не помешает анализу.
Логи карантина загрузил, вот логи после повторной процедуры:
Последний раз редактировалось sapperti; 29.07.2018 в 21:09.
begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Сделайте повторные логи.
Вопрос. У Вас заплатки на ОС все установлены?
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, касательно "заплаток", я почитал, но не знаю, есть ли эти "патчи" у меня или нет ( но, я думаю, должны быть, может и не все ), если это как-то связано с обновлением Windows, то я его ( вроде ) отключил после установки чистой ОС. Я просто не самый "аккумулированный" пользователь, поэтому и не знаю, где они находятся и есть они или их нет
Если есть такое место, то можете пожалуйста указать, где именно его найти,я проверю и скриншот сделаю и если есть возможность - загружу недостающие. Логи вот:
Последний раз редактировалось sapperti; 29.07.2018 в 21:49.
begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Сделайте повторные логи.
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, саму процедуру выполнил дважды, так как в первый раз немного помедлил. Сразу после выполнения "фикса" в "HijackThis", "AVG" высветил окно с указанием на этот "троян", определил его как "MalwareGen32 ( вроде так )" и отправил файл "taskhostw.exe.bak" в карантин. Не знаю, откуда там взялось расширение "bak". Вот новые логи:
Aleksandra, попробовал снова, два раза, уже в безопасном режиме, он остается в системе. Я мог бы попробовать аналогичным образом запустить первый скрипт, так как в нем больше команд типа "Delete" и посмотреть, что получится, но не буду самовольно что-то делать.
Вот логи ( если нужны ) :
И логи после работы "HijackThis":
Последний раз редактировалось sapperti; 30.07.2018 в 12:08.
Aleksandra, скрипт выполнил, но окошко с предложением сохранить логи не высветилось или его вовсе не должно быть. Где их можно найти, не подскажете пожалуйста?
Aleksandra, скрипт выполнил, но окошко с предложением сохранить логи не высветилось или его вовсе не должно быть. Где их можно найти, не подскажете пожалуйста?
Если сохраняли файл на рабочем столе, то и логи должны быть там же. Нужно просто дождаться.
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, сглупил, нашел папку, вот virusinfo_syscheck логи:
*Надеюсь, что правильные логи приложил.*
- - - - -Добавлено - - - - -
Aleksandra, конечные логи, сделанные через "uVS" приложить не могу. Места не хватает.
Но, могу дать ссылку на "Яндекс.Диск", на эти самые логи: https://yadi.sk/d/0JfhPSWp3ZiaeX
Скрипт выполняете в новой версии AVZ, сейчас должен отработать.
Код:
begin
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio');
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Сделайте повторный лог virusinfo_syscheck.
Сердце решает кого любить... Судьба решает с кем быть...
Aleksandra, сделал все сразу в безопасном режиме, заметил, что при запуске "AVZ", они ( "taskhostw.exe" и "MicrosoftHost.exe" ) самостоятельно запускаются. И, процессы "taskhostw.exe" и "MicrosoftHost.exe" в обычном режиме загрузки все еще появляются. Вот логи virusinfo_syscheck:
Aleksandra, пока не вижу проблем, но при запуске антивирусного ПО типа "AVZ" они снова появляются в процессах диспетчера задач, я думаю, что антивирусное ПО просто заражено и поэтому так происходит. А в общем, когда я бездействую в системе или долго не проверяю диспетчер задач, то процесс запускается ( как я определил ). Папки в programmdata ( RealtekHD и WindowsTask еще остались и продолжают "закачиваться" на компьютер после удаления ) и RealtekHD из реестра никуда не делся
Приписка 8:36 - проверил, проблемы остались, процесс запускается беспрепятственно при запуске антивирусного ПО, а потом, после первого закрытия в диспетчере, с интервалом в секунды 3, появляется и после повторного закрытия продолжает появляться, но после окончательно "уходит" либо до определенного процесса, либо на время.
Последний раз редактировалось sapperti; 31.07.2018 в 08:41.
Уважаемый(ая) sapperti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: