Поймал вирус-майнер "RobotDemo.exe"

@kotstalker · Регистрация: 19.08.2021

Author24 — интернет-сервис помощи студентам

Здравствуйте. Так вышло, что я поймал вирус-майнер "RobotDemo.exe". Антивирус Dr.Web распознал его как Troja.BtcMine.3571. В интернете я не нашёл об этом информации, но антивирус сразу же помещает данный .exe-файл в карантин. При удалении папки RobotDemo.exe, находящейся по адресу "C:\ProgramData\RobotDemo", и последующей перезагрузке папка и сам .exe-файл восстанавливаются (антивирус всё так же помещает его в карантин). В автозагрузке, насколько я смог во всём разобраться, нет ничего стороннего. Сканирование антивирусом так же не выявляет какие-либо угрозы. Лог вроде бы прикрепил.

@kotstalker · 19.08.2021, 09:53 **[ТС]**

Не уверен, что отключил антивирус при первом логировании, поэтому прикрепляю новый лог со 100% отключенным антивирусом.

@kotstalker · 19.08.2021, 09:56 **[ТС]**

Также не знаю, связано ли это с вирусом, но у меня не загружается (изредка может прогрузиться без самого оформления сайта) сайт Dr.Web (другие антивирусные сайты загружаются), и не выполняется обновление вирусных баз Dr.Web (Код ошибки: 9 - Возможно, отсуствует интернет-соединение или неправильно заданы настройки прокси-сервера.

@Sandor · 19.08.2021, 09:57

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя kotstalker. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 DeleteSchedulerTask('randomPlay_SN');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@kotstalker · 19.08.2021, 10:08 **[ТС]**

Выполнил. Также я заметил, что при отсутствии доступа к интернету файл RobotDemo.exe не появляется, но, как только я включил интернет, файл опять появился (Dr.Web сразу удалил его).

@Sandor · 19.08.2021, 10:19

Выполните первый пункт ещё раз, скрипт дополнен.

Затем после перезагрузки:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@kotstalker · 19.08.2021, 10:31 **[ТС]**

Выполнил скрипт и произвёл сканирование.

@Sandor · 19.08.2021, 10:59

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
(SignPath Foundation -> Transmission Project) C:\Program Files (x86)\Transmission\transmission-qt.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {B5EDC32A-47B5-41CE-B8C5-5DC268CB83BB} - System32\Tasks\randomPlay_Xx => C:\ProgramData\RobotDemo\RobotDemo.exe (Доступ не разрешён) <==== ВНИМАНИЕ
Tcpip\..\Interfaces\{4f55a980-02fc-4409-8066-65c4284f1718}: [NameServer] 178.175.133.58,37.1.207.126
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
C:\Users\dipri\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpegcopcfajiiibidlaelhjjblpefbjk
C:\Users\dipri\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\dipri\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk]
OPR Notifications: Opera Stable -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://www.shararam.ru; hxxps://zarabotok-online.xyz
C:\Users\dipri\AppData\Roaming\Opera Software\Opera Stable\Extensions\ndacbchlakpepknojkdljkcnphalliji
YAN DefaultSearchKeyword: Profile 2 -> find-it.pro
YAN DefaultSuggestURL: Profile 2 -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
YAN Extension: (Find-it.Pro Search) - C:\Users\dipri\AppData\Local\Yandex\YandexBrowser\User Data\Profile 2\Extensions\npiclhkkbgabhapklngkpahnaafkgpne [2021-07-22]
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-08-17] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
2021-08-17 22:21 - 2021-08-19 14:25 - 000000000 ____D C:\ProgramData\RobotDemo
2021-08-17 16:16 - 2021-08-17 16:16 - 000000000 ____D C:\Program Files (x86)\Transmission
Social Media Ad Blocker 1.0.0.0 (HKLM-x32\...\{822091fe-5a6c-4c93-848d-31023083aa62}) (Version: 1.0.0.0 - Netreklami) Hidden
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [738]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [738]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [738]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [738]
AlternateDataStreams: C:\Users\dipri\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
AlternateDataStreams: C:\Users\dipri\Application Data:NT [40]
AlternateDataStreams: C:\Users\dipri\Application Data:NT2 [738]
AlternateDataStreams: C:\Users\dipri\AppData\Roaming:bc6be3eabffaddc099151eee7bdd94ee [394]
AlternateDataStreams: C:\Users\dipri\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\dipri\AppData\Roaming:NT2 [738]
URLSearchHook: HKU\S-1-5-21-695258321-3373652932-1539404919-1001 - (Нет имени) - {C9423817-5DA7-494E-87E4-111F1B49A1FD} - Нет файла
SearchScopes: HKU\S-1-5-21-695258321-3373652932-1539404919-1001 -> DefaultScope {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-695258321-3373652932-1539404919-1001 -> {8C3078A0-9AAB-4371-85D1-656CA8E46EE8} URL = hxxp://search-cdn.net/fip/?q={searchTerms}
FirewallRules: [{7B3CB3F3-0E70-43D8-89EA-A2E1D91DA699}] => (Allow) LPort=15000
FirewallRules: [{7048F03C-0FBD-4C17-979B-B1F4F77C2ACF}] => (Allow) LPort=15000
FirewallRules: [{20D1A2F6-AE8C-45A7-ACF9-7E8E3622390F}] => (Allow) LPort=8111
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появится скрытая ранее

Social Media Ad Blocker 1.0.0.0

Удалите. Если будет "сопротивляться", удалите принудительно через Geek Uninstaller

@kotstalker · 19.08.2021, 11:20 **[ТС]**

Удалил Social Media Ad Blocker 1.0.0.0 с помощью уже имеющегося деинсталлятора Revo Uninstaller, надеюсь, что принципиальной разницы в этом нет. Лог прикрепил

@Sandor · 19.08.2021, 11:47

Удалите старые и соберите новые логи FRST.txt и Addition.txt для контроля.

@kotstalker · 19.08.2021, 11:53 **[ТС]**

Готово.

@Sandor · 19.08.2021, 12:20

В логах порядок. Как внешне?

@kotstalker · 19.08.2021, 12:23 **[ТС]**

После последней перезагрузки ПК перестало появляться уведомление об угрозе от Dr.Web, папка RobotDemo также перестала появляться, сайт Dr.Web начал прогружаться, получилось обновить вирусные базы.
Из любопытства решил посмотреть Fixlog, увидел там, что папка RobotDemo была перемещена в карантин. Какие-то дальнейшие действия нужно предпринимать?

@Sandor · 19.08.2021, 12:26

Да, завершающие:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@kotstalker · 19.08.2021, 12:34 **[ТС]**

1. Выполнил. AutoLogger так же удалил.
2. Провёл сканирование, лог прикрепил.

@Sandor · 19.08.2021, 12:50

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.1 Внимание! Скачать обновления
Node.js v.14.16.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
------------------------------- [ Imaging ] -------------------------------
paint.net v.4.2.14 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46038 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.371 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Acrobat DC v.21.005.20054 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 89.0.2 (x86 ru) v.89.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera GX Stable 77.0.4054.275 v.77.0.4054.275 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Mozilla Firefox 70.0.1 (x86 ru) v.70.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 77.0.4054.277 v.77.0.4054.277 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО

@kotstalker · 19.08.2021, 13:56 **[ТС]**

Всё, что можно, обновил, ненужное поудалял, остались нетронутыми из перечисленного только "µTorrent v.3.5.5.46038" и "Adobe Acrobat DC v.21.005.20054" (это приложение у меня пиратское, нужно ли его так обязательно удалять?).
С рекомендациями ознакомился.

@Sandor · 19.08.2021, 14:01

Удачи!

@kotstalker · 19.08.2021, 14:03 **[ТС]**

Спасибо! Компьютер теперь в полной безопасности???

@Sandor · 19.08.2021, 14:35

С установленным антивирусом и при соблюдении рекомендаций - да.

Поймал вирус-майнер "RobotDemo.exe"

Решение

Решение

Решение

@kotstalker 0 / 0 / 0 Регистрация: 19.08.2021 Сообщений: 21
	19.08.2021, 09:56 [ТС]	3
	Также не знаю, связано ли это с вирусом, но у меня не загружается (изредка может прогрузиться без самого оформления сайта) сайт Dr.Web (другие антивирусные сайты загружаются), и не выполняется обновление вирусных баз Dr.Web (Код ошибки: 9 - Возможно, отсуствует интернет-соединение или неправильно заданы настройки прокси-сервера. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 09:57	4
	Сообщение было отмечено kotstalker как решение Решение Здравствуйте! Внимание! Рекомендации написаны специально для пользователя kotstalker. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe'); StopService('Transmission'); DeleteSchedulerTask('randomPlay_SN'); DeleteService('Transmission'); DeleteFileMask('C:\Program Files (x86)\Transmission\', '', true); DeleteDirectory('C:\Program Files (x86)\Transmission\'); ExecuteSysClean; ExecuteRepair(4); ExecuteRepair(21); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Подготовьте новый CollectionLog*. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 10:19	6
	Сообщение было отмечено kotstalker как решение Решение Выполните первый пункт ещё раз, скрипт дополнен. Затем после перезагрузки: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 11:47	10
	Удалите старые и соберите новые логи FRST.txt и Addition.txt для контроля. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 12:20	12
	В логах порядок. Как внешне? 0

@kotstalker 0 / 0 / 0 Регистрация: 19.08.2021 Сообщений: 21
	19.08.2021, 12:23 [ТС]	13
	После последней перезагрузки ПК перестало появляться уведомление об угрозе от Dr.Web, папка RobotDemo также перестала появляться, сайт Dr.Web начал прогружаться, получилось обновить вирусные базы. Из любопытства решил посмотреть Fixlog, увидел там, что папка RobotDemo была перемещена в карантин. Какие-то дальнейшие действия нужно предпринимать? 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 12:26	14
	Да, завершающие: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 12:50	16
	--------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (64-bit x64) v.7.8.1 Внимание! Скачать обновления Node.js v.14.16.0 Внимание! Скачать обновления *^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^* Python 3.9.2 (64-bit) v.3.9.2150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую. ------------------------------- [ Imaging ] ------------------------------- paint.net v.4.2.14 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46038 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.6 Внимание! Скачать обновления --------------------------- [ AdobeProduction ] --------------------------- Adobe Flash Player 32 PPAPI v.32.0.0.371 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. Adobe Acrobat DC v.21.005.20054 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 89.0.2 (x86 ru) v.89.0.2 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera GX Stable 77.0.4054.275 v.77.0.4054.275 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Mozilla Firefox 70.0.1 (x86 ru) v.70.0.1 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Firefox!^ Opera Stable 77.0.4054.277 v.77.0.4054.277 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО 1

@kotstalker 0 / 0 / 0 Регистрация: 19.08.2021 Сообщений: 21
	19.08.2021, 13:56 [ТС]	17
	Всё, что можно, обновил, ненужное поудалял, остались нетронутыми из перечисленного только "µTorrent v.3.5.5.46038" и "Adobe Acrobat DC v.21.005.20054" (это приложение у меня пиратское, нужно ли его так обязательно удалять?). С рекомендациями ознакомился. 0

@Sandor 22304 / 15785 / 3051 Регистрация: 08.10.2012 Сообщений: 64,187
	19.08.2021, 14:01	18
	Сообщение было отмечено kotstalker как решение Решение Удачи! 1

	19.08.2021, 14:35

@kotstalker 0 / 0 / 0 Регистрация: 19.08.2021 Сообщений: 21
	19.08.2021, 14:03 [ТС]	19
	Спасибо! Компьютер теперь в полной безопасности??? 0