Проблема с удалением троянского ПО BitcoinMiner. ( Taskhostw.exe и MicrosoftHost.exe , а также, файла реестра ) [UDS:Trojan.Win32.Eb]

[sapperti]

thyrex, как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель

[thyrex]

Вряд ли майнер уводит пароли.

Надеюсь, редактором реестра пользоваться тоже умеете.

HKLM\SYSTEM\CurrentControlSet\Services\4583790C186 7598D - сделайте экспорт этой ветки и прикрепите в архиве к следующему сообщению

[sapperti]

Все-таки, я попытался что-то сделать с восстановлением стабильного запуска программы "MalwareBytes", но не получилось. Кстати, я заметил, что та самая папка "rdp" появилась после выполнения скрипта, только не совсем помню какого. И, может, чтобы вызвать его повторное появление, стоит снова запустить этот скрипт и после просканировать файл "bat.bat" на наличие подозрительных кодов?

- - - - -Добавлено - - - - -

thyrex, помнится, "GridinSoft Anti-Malware" давал этому файлу ( "taskhostw.exe" ) тип "Stiller" ( Стиллер ), но, так как это единичный случай, то, вы правы. Редактором научился пользоваться уже после того, как начал разбираться с этим троянским ПО. Но, такой "ветки" подфайлов не нашел, даже совпадений нет. ( может, потому что, я удалил вирусы после запуска системы с помощью "Dr. Web Cure It" )

[thyrex]

Новинка: ExplorerPlug.dll - Trojan.Win64.Miner.gek

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
2018-07-10 18:19 - 2018-07-10 18:19 - 000945152 _____ (Диспетчер источников) C:\Windows\system32\ExplorerPlug.dll
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor)
2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask
2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD
ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\System32\ExplorerPlug.dll [2018-07-10] (Диспетчер источников)
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[sapperti]

thyrex, очень быстрое выполнение скрипта насторожило, но все прошло удачно, вот логи:

- - - - -Добавлено - - - - -

Ну, могу давать отчет: система работает исправно ( хотя и с ним работала тоже стабильно, но была в некоторых функциях ограничена, а сам процесс занимал 20 МБ оперативной памяти ( taskhostw.exe ), "MicrosoftHost.exe" в свою же очередь, всего 5 МБ и закрывался практически сразу после запуска ( 5-10 секунд )), процесс уже минут 15 не появляется в диспетчере. Файл в реестре также отсутствует и не появляется там. Единственное что, это WinRar архив с ExplorerPlug.dll на рабочем столе находится и в "msconfig" задача в разделе автозагрузок не пропала. Может, где-то еще лежит мусор, оставленный после этого троянского ПО.
Я сейчас уже ухожу спать, если что-то понадобится еще выполнить, то только утром смогу это сделать.
А так, огромное спасибо всем, кто принимал участие в организации помощи, честное слово, я уже отчаялся, так как после любой выполненной манипуляции с системой, процесс возвращался, а сейчас - нет, что не может не радовать=))
Можете, пожалуйста, пока что, статью не закрывать? Вдруг еще что-то проявится по этой теме, я тогда и напишу. ( буквально на дня 3-4 )

[thyrex]

Архив с explorerplug можете удалять. Какая запись в msconfig не пропала?

[sapperti]

thyrex, "RealtekHD" с путем HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run. Надеюсь, что многие антивирусные ПО внесли "ExplorerPlug.dll" или ему подобные в свою вирусную базу. И еще один маленький вопрос, если "AVG" не работает в полную меру, то можете, пожалуйста, посоветовать какую-нибудь программу от себя?

[thyrex]

Ну тогда эту запись просто удалите вручную в редакторе реестра.

Чтобы внесли многие вендоры, им это файл нужно разослать. Или они постепенно потихоньку начнут детектировать сами. Можете, например, отправить сами в вирлаб AVG.
Но даже в сравнении с ночным анализом число срабатываний выросло вдвое https://www.virustotal.com/#/file/79...1fcd/detection (детект от Лаборатории Касперского несколько отличается от того, как на самом деле его назвали, по ссылке срабатывание эвристики только)

Любой антивирус лишь уменьшает риск заболеть, потому я не люблю советовать антивирусные решения.

[sapperti]

thyrex, в редакторе реестра, по заданному пути, "RealtekHD" отсутствует еще с 2-ух часов ночи, а вот строчка в "msconfig" не пропала:

[mike 1]

Повторите логи FRST.txt, Addition.txt

[thyrex]

Просто поиском в реестре найдите вхождение указанной записи и удалите ее.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду C:\Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt, запустите, нажмите Clean up

[sapperti]

thyrex, то есть, следует удалить папку "Run"? И, команда при выполнении открывает папку "Combofix" в ней содержится файл "PEV.exe" - это деинсталлятор?

- - - - -Добавлено - - - - -

mike 1, вот, загружал на "Yandex.Disk" ( по уже, всем известной, причине ): https://yadi.sk/d/G7uVUzFu3ZtPic

[thyrex]

Для удаления ComboFix есть еще вторая строчка в инструкции.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
MSCONFIG\startupreg: Realtek HD Audio => C:\ProgramData\RealtekHD\taskhostw.exe
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Оставшиеся записи в Автозагрузке можно включить.

[sapperti]

thyrex, выполнил, процесс "autorun" пропал, вот логи:
Но, запустить два этих ( последних в списке ) процесса не получается, они сбрасывают галочки сами с себя ( скриншот ): https://yadi.sk/i/wNvMvDZH3ZtRx4

[thyrex]

А в безопасном режиме? Если антивирус стартует нормально после перезагрузки, то может они вовсе и не важны

[sapperti]

thyrex, попробую, сейчас скажу, что получится.

- - - - -Добавлено - - - - -

Все, запустил в безопасном режиме, перезагрузился и антивирус работает в привычном режиме. Максимум, что могу еще сделать, переслать конечные логи с системы, вдруг мусор еще остался, а так, огромное вам спасибо, в ближайшие дни постараюсь переслать сумму в поддержку проекту, вы очень сильно помогли)

[thyrex]

Не нужно больше логов

[sapperti]

Тогда, еще раз, огромнейшее "СПАСИБО" вам)

[CyberHelper]

?????????? ???????????? ???????:

• ???????? ??????????: 3
• ?????????? ??????: 9
• ? ???? ??????? ?????????? ??????????? ?????????:
  
  1. c:\programdata\realtekhd\taskhostw.exe - Trojan.Win32.BitCoi=
     nMiner.ayq
  2. c:\programdata\windowstask\microsofthost.exe - HEUR:Trojan.W=
     in32.Miner.gen