Вымогатели, майнер

Printable View

15.11.2023, 14:26
OksanaDMD

Вложений: 2

Вымогатели, майнер

Добрый день!
Прошу помощи. Подозрение на вымогательство и на майнеры. На компьютере заблокировался рабочий стол и выскочило окно блокировки. Окно успели закрыть, рабочий стол после перезагрузки появился, но при запуске выскакивает окно (вложение снимок экрана). Поудаляли несколько подозрительных одинаковых папок. Запустили проверку AutoLogger, лог во вложение.
15.11.2023, 14:27
Info_bot

Уважаемый(ая) [B]OksanaDMD[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
15.11.2023, 18:14
Vvvyg

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]F3 - HKCU\..\Windows: [load] = C:\Users\Pavlik\AppData\Roaming\Steam\steam.exe
O1 - Hosts: 127.0.0.1 www.adaware.com
O1 - Hosts: 127.0.0.1 www.arcabit.pl
O1 - Hosts: 127.0.0.1 www.avira.com
O1 - Hosts: 127.0.0.1 www.clamav.net
O1 - Hosts: 127.0.0.1 www.drweb.ru
O1 - Hosts: 127.0.0.1 www.f-prot-antivirus-for-windows.en.softonic.com
O1 - Hosts: 127.0.0.1 www.ikarussecurity.com
O1 - Hosts: 127.0.0.1 www.maxpcsecure.com
O1 - Hosts: 127.0.0.1 www.nanoav.ru
O1 - Hosts: 127.0.0.1 www.quickheal.com
O1 - Hosts: 127.0.0.1 www.sophos.com
O1 - Hosts: 127.0.0.1 www.vba32-antivirus.en.softonic.com
O1 - Hosts: 127.0.0.1 www.xvirus.net
O1 - Hosts: 127.0.0.1 www.zonerantivirus.com
O1 - Hosts: 127.0.0.1 www.avast.ru
O1 - Hosts: 127.0.0.1 www.avast.com
O1 - Hosts: 127.0.0.1 www.adaware.com
O1 - Hosts: 127.0.0.1 www.arcabit.pl
O1 - Hosts: 127.0.0.1 www.avira.com
O1 - Hosts: 127.0.0.1 www.clamav.net
O1 - Hosts: 127.0.0.1 www.drweb.ru
O1 - Hosts: 127.0.0.1 www.f-prot-antivirus-for-windows.en.softonic.com
O1 - Hosts: 127.0.0.1 www.ikarussecurity.com
O1 - Hosts: 127.0.0.1 www.maxpcsecure.com
O1 - Hosts: 127.0.0.1 www.nanoav.ru
O1 - Hosts: 127.0.0.1 www.quickheal.com
O1 - Hosts: 127.0.0.1 www.sophos.com
O1 - Hosts: 127.0.0.1 www.vba32-antivirus.en.softonic.com
O1 - Hosts: 127.0.0.1 www.xvirus.net
O1 - Hosts: 127.0.0.1 www.zonerantivirus.com
O1 - Hosts: 127.0.0.1 www.avast.ru
O1 - Hosts: 127.0.0.1 www.avast.com
O1 - Hosts: 127.0.0.1 www.bitdefender.com
O1 - Hosts: 127.0.0.1 www.comodo.com
O1 - Hosts: 127.0.0.1 www.emsisoft.com
O1 - Hosts: 127.0.0.1 www.f-secure.com
O1 - Hosts: 127.0.0.1 www.immunet.com
O1 - Hosts: 127.0.0.1 www.mcafee.com
O1 - Hosts: 127.0.0.1 www.eset.com
O1 - Hosts: 127.0.0.1 www.tgsoft.it
O1 - Hosts: 127.0.0.1 www.zillya.ua
O1 - Hosts: 127.0.0.1 www.avg.com
O1 - Hosts: 127.0.0.1 www.bullguard.com
O1 - Hosts: 127.0.0.1 www.escanav.com
O1 - Hosts: 127.0.0.1 www.gdatasoftware.com
O1 - Hosts: 127.0.0.1 www.kaspersky.ru
O1 - Hosts: 127.0.0.1 www.norman.com
O1 - Hosts: 127.0.0.1 www.virustotal.com
O1 - Hosts: 127.0.0.1 www.seqrite.com
O1 - Hosts: 127.0.0.1 www.trendmicro.com
O1 - Hosts: 127.0.0.1 www.spamfighter.com
O1 - Hosts: 127.0.0.1 www.zonealarm.com
O1 - Hosts: 127.0.0.1 www.esetnod32.ru[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
15.11.2023, 19:12
OksanaDMD

Вложений: 1

hijack и FRST запустили. Лог приложили.
15.11.2023, 19:39
Vvvyg

По майнеру поясните, не вижу признаков. А локер должен быть уже удалён.

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1396159523-508316669-936831084-1001\...\Policies\system: [DisableLockWorkstation] 1
FirewallRules: [{9CFE8E6A-C891-4ECC-91AA-E7069033F464}] => (Allow) C:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{AC1C9D6A-B889-4E74-BDA1-2083E8501038}] => (Allow) C:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{64FD60A1-79B7-4361-9128-02E44B5B591B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{A6A76F71-5E37-4D46-95B4-5BE9B149D74B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{C5F7AFF5-5BF0-416B-B593-BEF44EF219DF}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{9C75E464-BA0B-4295-9C96-0E7A7085D87F}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [{14F95055-F17A-4925-90E2-FEDCE907E3A5}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.101.3212.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{762C593B-3D95-46D7-B49B-B9564ADAC61D}C:\users\pavlik\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\pavlik\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{B98E0814-8099-41BF-9DDA-5ADD2C0FE4C3}C:\users\pavlik\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\pavlik\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{E1528F64-425F-407C-8EAB-52085EB3BF9D}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [UDP Query User{2ECC5DE1-C3A0-4C79-A84A-5E45B8D47203}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{1E0088CA-3FDF-418E-A330-66A2D2F5E30B}] => (Allow) LPort=9009
FirewallRules: [TCP Query User{49090CF0-754C-497B-82CB-63DE9AE15264}D:\temp\worldbox_v0.22.9\worldbox.exe] => (Allow) D:\temp\worldbox_v0.22.9\worldbox.exe => Нет файла
FirewallRules: [UDP Query User{E6EFD1CD-9433-4525-AF5F-4E7054558868}D:\temp\worldbox_v0.22.9\worldbox.exe] => (Allow) D:\temp\worldbox_v0.22.9\worldbox.exe => Нет файла
FirewallRules: [TCP Query User{2B829112-2C08-4158-96BB-907B7FA3A1B0}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [UDP Query User{2CBF6721-7E18-4D37-A090-C0B53E7E0CDB}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\csgo.exe => Нет файла
FirewallRules: [{CE136601-914F-478F-937B-8FB2425B27C0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.102.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F1839648-7C1C-4496-9B9A-8A60375CA14D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.103.3208.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{10EFC90D-4298-4EF0-8019-4537747AB8E0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.104.3207.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{FE0BDE03-84B8-4029-9A74-BE74C3586D9E}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [UDP Query User{B86EE9BB-1F28-4AC1-9506-CE6B49181DA6}C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\counter-strike global offensive\game\bin\win64\cs2.exe => Нет файла
FirewallRules: [{6416E431-D1B5-4BAF-AF8D-C83CDD061370}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3208.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{DEDB4081-B84B-4C89-8E34-31924DE18C7C}] => (Allow) LPort=9009
FirewallRules: [{42D7F237-EEA9-415B-AE64-AF0227CC99CD}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3211.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{703B130B-41F8-4995-AC84-2732790EF006}] => (Allow) LPort=9009
FirewallRules: [{7FAD0B01-4812-4130-BEA6-7E518307F96C}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [TCP Query User{FF4326B0-11F0-4F64-9E64-92F7ECD6CE97}C:\users\pavlik\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Block) C:\users\pavlik\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{487CD227-27B1-4CF0-90EB-90170A9A20A7}C:\users\pavlik\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe] => (Block) C:\users\pavlik\appdata\roaming\calestial_1.16.5\jdk\bin\java.exe => Нет файла
FirewallRules: [{9EB03319-9939-418E-993F-4D09ACD60745}] => (Allow) LPort=9009
FirewallRules: [{FBD318CB-C447-46B0-B079-7C301AAD11DE}] => (Allow) LPort=9009
FirewallRules: [{E276CC82-CB17-4FA2-B559-8A926B4B8526}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.106.3210.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{30FE8162-9A7B-4FBF-8168-D055D390311A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe => Нет файла
FirewallRules: [{F2261EBC-E5EA-469D-B3B5-4DE187F039B4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SCP Secret Laboratory\SCPSL.exe => Нет файла
FirewallRules: [{ACFD4136-1A5D-4CF7-AAF9-5BE5864A349A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.106.3212.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera GX Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив .RAR или .7z с максимальным сжатием (если нет этих приложений, в Windows 11 по правой кнопке мыши - "Сжать в ZIP файл") и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
15.11.2023, 21:01
OksanaDMD

Вложений: 1

лог приложен.
По майнеру, вчера, когда началась вся эта катавасия, диспетчер задач был загружен под 80% и постоянно подгружался файл steam.exe. Каталог, откуда он запускался переименовали у перенесли на соседний диск, после этого он больше не подгружается.
В этой же папке есть файлы:
AForge.Video.DirectShow.dll
AForge.Video.dll
DotNetZip.dll
SharpDX.Direct3D9.dll
SharpDX.Direct3D11.dll
SharpDX.dll
SharpDX.DXGI.dll
steam.exe
15.11.2023, 21:24
Vvvyg

Понятно, почему его в логах не видно было.
Загрузите файл steam.exe на virustotal.com и дайте ссылку на результаты проверки.
Потом удалите папку со всем содержимым.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
15.11.2023, 21:32
OksanaDMD

ссылка на результаты проверки
[url]https://www.virustotal.com/gui/file/790a3affe2f1f7e51174dbf49daaf25d71b4edb9132bed8836bef39642020a05?nocache=1[/url]
15.11.2023, 21:46
Vvvyg

Всё на этом, не болейте )