thyrex, как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель
thyrex, как бы этот "интереснейший" не сделал чего-то глобального в недрах системы, благо текстовой документ с паролями перенес на USB-накопитель
Вряд ли майнер уводит пароли.
Надеюсь, редактором реестра пользоваться тоже умеете.
HKLM\SYSTEM\CurrentControlSet\Services\4583790C186 7598D - сделайте экспорт этой ветки и прикрепите в архиве к следующему сообщению
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Все-таки, я попытался что-то сделать с восстановлением стабильного запуска программы "MalwareBytes", но не получилось. Кстати, я заметил, что та самая папка "rdp" появилась после выполнения скрипта, только не совсем помню какого. И, может, чтобы вызвать его повторное появление, стоит снова запустить этот скрипт и после просканировать файл "bat.bat" на наличие подозрительных кодов?
- - - - -Добавлено - - - - -
thyrex, помнится, "GridinSoft Anti-Malware" давал этому файлу ( "taskhostw.exe" ) тип "Stiller" ( Стиллер ), но, так как это единичный случай, то, вы правы. Редактором научился пользоваться уже после того, как начал разбираться с этим троянским ПО. Но, такой "ветки" подфайлов не нашел, даже совпадений нет. ( может, потому что, я удалил вирусы после запуска системы с помощью "Dr. Web Cure It" )
Новинка: ExplorerPlug.dll - Trojan.Win64.Miner.gek
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: 2018-07-10 18:19 - 2018-07-10 18:19 - 000945152 _____ (Диспетчер источников) C:\Windows\system32\ExplorerPlug.dll HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [1705984 2016-08-29] (Realtek Semiconductor) 2018-08-01 15:49 - 2018-08-01 15:55 - 000000000 __SHD C:\ProgramData\WindowsTask 2018-08-01 15:49 - 2018-08-01 15:50 - 000000000 __SHD C:\ProgramData\RealtekHD ContextMenuHandlers1: [SystemHelper] -> {851aab5c-2010-4157-9c5d-a28dfa7b2660} => C:\Windows\System32\ExplorerPlug.dll [2018-07-10] (Диспетчер источников) Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, очень быстрое выполнение скрипта насторожило, но все прошло удачно, вот логи:
- - - - -Добавлено - - - - -
Ну, могу давать отчет: система работает исправно ( хотя и с ним работала тоже стабильно, но была в некоторых функциях ограничена, а сам процесс занимал 20 МБ оперативной памяти ( taskhostw.exe ), "MicrosoftHost.exe" в свою же очередь, всего 5 МБ и закрывался практически сразу после запуска ( 5-10 секунд )), процесс уже минут 15 не появляется в диспетчере. Файл в реестре также отсутствует и не появляется там. Единственное что, это WinRar архив с ExplorerPlug.dll на рабочем столе находится и в "msconfig" задача в разделе автозагрузок не пропала. Может, где-то еще лежит мусор, оставленный после этого троянского ПО.
Я сейчас уже ухожу спать, если что-то понадобится еще выполнить, то только утром смогу это сделать.
А так, огромное спасибо всем, кто принимал участие в организации помощи, честное слово, я уже отчаялся, так как после любой выполненной манипуляции с системой, процесс возвращался, а сейчас - нет, что не может не радовать=))
Можете, пожалуйста, пока что, статью не закрывать? Вдруг еще что-то проявится по этой теме, я тогда и напишу. ( буквально на дня 3-4 )
Архив с explorerplug можете удалять. Какая запись в msconfig не пропала?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, "RealtekHD" с путем HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Run. Надеюсь, что многие антивирусные ПО внесли "ExplorerPlug.dll" или ему подобные в свою вирусную базу. И еще один маленький вопрос, если "AVG" не работает в полную меру, то можете, пожалуйста, посоветовать какую-нибудь программу от себя?
Последний раз редактировалось sapperti; 04.08.2018 в 10:55.
Ну тогда эту запись просто удалите вручную в редакторе реестра.
Чтобы внесли многие вендоры, им это файл нужно разослать. Или они постепенно потихоньку начнут детектировать сами. Можете, например, отправить сами в вирлаб AVG.
Но даже в сравнении с ночным анализом число срабатываний выросло вдвое https://www.virustotal.com/#/file/79...1fcd/detection (детект от Лаборатории Касперского несколько отличается от того, как на самом деле его назвали, по ссылке срабатывание эвристики только)
Любой антивирус лишь уменьшает риск заболеть, потому я не люблю советовать антивирусные решения.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, в редакторе реестра, по заданному пути, "RealtekHD" отсутствует еще с 2-ух часов ночи, а вот строчка в "msconfig" не пропала:
Повторите логи FRST.txt, Addition.txt
Инструкции выполняются в том порядке, в котором они вам даны.
А вы совершаете эти 4 ошибки на форумах? Оставить отзыв Обучение на VirusInfo
Защита от неизвестных троянцев-шифровальщиков => FixSecurity, Kaspersky Anti-Ransomware Tool
Интересный блог Андрея Иванова по шифровальщикам
Антивирус на 30 дней => https://clck.ru/FKsBt
Просто поиском в реестре найдите вхождение указанной записи и удалите ее.
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду C:\Combofix /Uninstall, нажмите кнопку "ОК"
Скачайте OTCleanIt, запустите, нажмите Clean up
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, то есть, следует удалить папку "Run"? И, команда при выполнении открывает папку "Combofix" в ней содержится файл "PEV.exe" - это деинсталлятор?
- - - - -Добавлено - - - - -
mike 1, вот, загружал на "Yandex.Disk" ( по уже, всем известной, причине ): https://yadi.sk/d/G7uVUzFu3ZtPic
Для удаления ComboFix есть еще вторая строчка в инструкции.
1. Откройте Блокнот и скопируйте в него приведенный ниже текст
2. Нажмите Файл – Сохранить какКод:CreateRestorePoint: MSCONFIG\startupreg: Realtek HD Audio => C:\ProgramData\RealtekHD\taskhostw.exe Reboot:
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
Оставшиеся записи в Автозагрузке можно включить.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, выполнил, процесс "autorun" пропал, вот логи:
Но, запустить два этих ( последних в списке ) процесса не получается, они сбрасывают галочки сами с себя ( скриншот ): https://yadi.sk/i/wNvMvDZH3ZtRx4
Последний раз редактировалось sapperti; 04.08.2018 в 12:46.
А в безопасном режиме? Если антивирус стартует нормально после перезагрузки, то может они вовсе и не важны
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
thyrex, попробую, сейчас скажу, что получится.
- - - - -Добавлено - - - - -
Все, запустил в безопасном режиме, перезагрузился и антивирус работает в привычном режиме. Максимум, что могу еще сделать, переслать конечные логи с системы, вдруг мусор еще остался, а так, огромное вам спасибо, в ближайшие дни постараюсь переслать сумму в поддержку проекту, вы очень сильно помогли)
Не нужно больше логов
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Тогда, еще раз, огромнейшее "СПАСИБО" вам)
?????????? ???????????? ???????:
- ???????? ??????????: 3
- ?????????? ??????: 9
- ? ???? ??????? ?????????? ??????????? ?????????:
- c:\programdata\realtekhd\taskhostw.exe - Trojan.Win32.BitCoi=
nMiner.ayq- c:\programdata\windowstask\microsofthost.exe - HEUR:Trojan.W=
in32.Miner.gen
Уважаемый(ая) sapperti, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.