модифицированный MSIL/CoinMiner.BGJ троянская программа

Здравствуйте, нод начал спамить про удаления файла:
Скрытый текст
и так каждую минуту, как удалить этот вирус ?
Образ автозапуска:
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c

deltmp
delnfr
restart




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Изменено: RP55 RP55 - 20.12.2020 22:36:07
к сожалению не помогло.
nod.png (9.29 КБ)
1) Всё найденное в Malwarebytes - удалите ( поместите в карантин )


2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
1) В Malwarebytes - удалил все.
2) Выполните лог в AdwCleaner
Лог:
Скрытый текст
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

FirewallRules: [{8D453E32-A0AE-418F-9361-2F4B12FF6C65}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => No File
FirewallRules: [{653996F3-7596-415A-82DE-CEAF69D6BECD}] => (Allow) D:\Games\Red Dead Redemption 2\RDR2.exe => No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Edge: Restriction <==== ATTENTION
Task: {077333D6-06BA-4EA4-BDF4-1CD1439558F2} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
Task: {A2597AD3-0B94-4803-9A30-94B39BD37E0E} - System32\Tasks\zAmigoBrowserUpdate => rundll32.exe C:\Users\Asus\AppData\Roaming\Microsoft\AdModNetW4b8\adnekmod8b4.dll,AmigoUpdater


EmptyTemp:
Reboot:


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
СделалСейчас вроде все ок, пока что не нод не выдает предупреждение.Спасибо!
Проблема была в:
Код
C:\Users\Asus\AppData\Roaming\Microsoft\AdModNetW4b8\adnekmod8b4.dll,AmigoUpdater
?
Изменено: Юра Зачем - 20.12.2020 23:44:17
Цитата
Юра Зачем написал:
Проблема была в:

Видимо.
Подчистим.

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
restart
;---------command-block---------
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
apply





-------------------------------------

Полное имя                  C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKM­OD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           

www.virustotal.com  Файл был чист на момент проверки.     2020-12-20
   
 
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      18.12.2020 в 16:17:58
Изменен                     18.12.2020 в 16:17:58
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
CmdLine                     C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKM­OD8B4.DLL,AMIGOUPDATER
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{920AEC27-3C26-4A74-8434-613D4DEF9913}\Actions
Actions                     "rundll32.exe" C:\Users\Дмитрий\AppData\Roaming\Microsoft\AdModNetW4b8\adnekm­od8b4.dll,AmigoUpdater
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{920AEC27-3C26-4A74-8434-613D4DEF9913}\
%SystemDrive%\USERS\ДМИТРИЙ\
Опечатка в скрипте ?
Изменено: Юра Зачем - 21.12.2020 00:08:18
Читают тему (гостей: 1)