Вирус майнер

**Марат Тухватуллин** · 11.01.2024, 17:18

Здравствуйте! Словил майнера на своем компе при активации офиса через КМС авто, по рекомендациям на форумах удалить его не получилось, прошу помочь! Прилагаю архив с доками диагностики

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 11.01.2024, 17:19

Уважаемый(ая) Марат Тухватуллин, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 11.01.2024, 18:32

По логам чисто. Как проявляется? Чем лечили?

**Марат Тухватуллин** · 11.01.2024, 18:55

Проявляется по следующим признакам:
ЦП на 50-80% нагрузки при открывании диспетчера задач, затем падает
Дичайшие просадки в играх, хотя до этого я играл без особых проблем
Не даёт открывать некоторые утилиты по поиску вредоносного ПО
Защитник виндоус даёт всё больше троянов, которые никак не убрать (если удалить или поместить в карантин, ничего не меняется).
Пытался лечить MWAW, esetonlinescanner, drweb-cureit, spy-hunter (не даёт запустить) и AVZ.
Да, и откат системы невозможен, не даёт ни создать точку восстановления, ни откатить

**Vvvyg** · 11.01.2024, 20:17

Сообщение от Марат Тухватуллин

ЦП на 50-80% нагрузки при открывании диспетчера задач, затем падает

Это норма на любой системе, писпетчер при запуске сам потребляет ресурсы.

Сообщение от Марат Тухватуллин

Дичайшие просадки в играх, хотя до этого я играл без особых проблем

Могут быть и другие причины.
Давайте копать глубже.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**Марат Тухватуллин** · 11.01.2024, 22:52

Прикрепляю. Так же, заметил одну фигню: при открытом диспетчере задач ПК работает быстрее (при сканировании это очень заметно), если закрыть ДЗ, сканер начинает тормозить неплохо.
И дайте, пожалуйста, совет, где посмотреть скрытых пользователей ПК? Где-то я видел пользователя John, но его я удалял с AVZ, вроде как, точно не знаю, хочу убедиться

**Vvvyg** · 12.01.2024, 08:01

Видно, что майнер был, лечили утилитой утилиту AV block remove. Прикрепите её лог, кстати. John удалён при работе утилиты. Срабатывания защитника - на майнер в карантине и Autologger. Сейчас ничего подозрительного нет.

Деинсталлируйте McAfee Security Scan Plus.
Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
2024-01-08 21:02 C:\Users\mtuhv\OneDrive\Рабочий стол\AutoLogger
2024-01-08 21:02 C:\Users\mtuhv\OneDrive\Рабочий стол\AV_block_remover
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3072333480-3639611160-349643748-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\mtuhv\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
FirewallRules: [TCP Query User{34985190-BD29-4593-943E-5F6DE6B7911C}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [UDP Query User{3A6924BA-18F6-4514-90FC-4713FB07EB20}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{2835FC24-F357-40C2-AAEE-85443EDE174E}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{35960606-441E-42EE-B26D-8C6D96EC9DCE}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{76621915-D3FE-4664-91AB-C1C9A9A4F49F}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{E84113D3-AC30-44CA-A420-44A32694B674}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6D670A6A-580A-4A21-BA0C-5D6DA4D3D9DE}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{F2C1A1FD-4D8F-4373-BCFD-E30B2DCB3363}] => (Allow) C:\Users\mtuhv\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{D0113781-3668-450E-84F3-3AE5F4A1CAB6}] => (Allow) C:\Program Files\MetaTrader\metatester64.exe => Нет файла
FirewallRules: [TCP Query User{A14854AD-7BD1-4288-BDEC-C895BB52E945}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{BB35458B-D21F-40B4-88E0-A25E5F5BAFAE}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{09C8EC89-5FE9-4F41-B701-474ACD1621A0}] => (Allow) C:\Users\mtuhv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{B05B5250-04B9-4E03-AEE9-AD35D9704726}] => (Allow) C:\Users\mtuhv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{917A06E1-7847-4A21-956C-EAB3D9ECCBF2}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{D1C84759-EA81-4F50-8013-4D01E120F577}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{2D41196A-FA70-45A6-BFC6-7D5F111CB80A}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{480AC525-2233-49F7-B39D-237983EA57A4}] => (Allow) C:\Program Files\MiniTool ShadowMaker\AgentService.exe => Нет файла
FirewallRules: [{DB53AC89-2C8D-4586-910C-76B7D30F9A3A}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{F1717AFC-1AD4-41D1-8F9D-C3085364B1CF}] => (Allow) C:\Program Files\TeamViewer\TeamViewer.exe => Нет файла
FirewallRules: [{4F47BF78-8BF5-4985-A1C6-3C27AB7D337A}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
FirewallRules: [{016A3F5A-FE79-499E-A621-58CB0B30B9BF}] => (Allow) C:\Program Files\TeamViewer\TeamViewer_Service.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

**Марат Тухватуллин** · 12.01.2024, 12:38

Прикрепляю. Только я не понял, зачем этот код копировать и куда его вставить?

**Vvvyg** · 12.01.2024, 13:58

Вставлять никуда не надо, программа берёт код из буфера обмена.

Какие из проблем остались? Майнера точно нет сейчас.

Вирус майнер (заявка № 228439)

Опции темы