Компьютер заразился майнером attrib.exe

**Mirrak05** · 24.10.2021, 01:40

Заразился майнером. Прикрывается под attrib.exe и грузит процессор, при открывании диспетчера задач нагрузка снижается до минимума.
Лог прикрепляю. Очень надеюсь на вашу помощь.
Upd.: Заметил, что attrib.exe находится в древе helper.exe, также от attrib.exe идет древо, в котором открыть conhost.exe, больше всего грузит процессор attrib.exe

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 24.10.2021, 01:41

Уважаемый(ая) Mirrak05, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 24.10.2021, 22:28

Отсутствует лог AVZ в архиве.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Task: \ASUS\P508PowerAgent_sdk - C:\Program Files (x86)\ASUS\ArmouryDevice\dll\ShareFromArmouryIII\Mouse\ROG STRIX CARRY\P508PowerAgent.exe (file missing)
O22 - Task: \System\SystemCheck - C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-1152748529-924715390-3095423772-500 - C:\Users\shakh\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-4208634918-530404884-4283699443-500 - C:\Users\shakh\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)

Перезагрузите систему и сделайте новый лог Autologger.

**Mirrak05** · 24.10.2021, 22:59

Проделал вышеописанную процедуру.
Высылаю новые логи

**Vvvyg** · 25.10.2021, 07:42

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\ГРАНД Смета (вер. 4.0).lnk"       -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Client\Gsmeta.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\ГРАНД Смета ReadMe.lnk"           -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Client\ReadMe.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\ГРАНД Смета Справка.lnk"          -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Client\Gsmeta.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\Утилиты\Утилита конвертирования из формата ABC в формат АРПС.lnk"         -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Support\abc_arps\ABC_ARPS.EXE"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\Утилиты\Утилита восстановления даных.lnk"   -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Support\Repair\Repair.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\Утилиты\Утилита анализа системной конфигурации компьютера.lnk"  -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Support\GrandSysInfo\GrandSysInfo.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\Утилиты\Утилита поиска электронных ключей.lnk"        -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Support\GrandCheckKey\GrandCheckKey.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\ГРАНД Смета\4.0\Утилиты\Утилита рассчета контрольной суммы файла.lnk"           -> ["C:\Users\shakh\Downloads\Grandsmeta 8.1 RUS\Grand\Support\CRC32Check\CRC32Check.exe"]
>>>  "C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WhoreCraftEp1\Microsoft .NET Framework 4.lnk"           -> ["C:\Games\Binaries\InstallData\dotNetFx40_Full_setup.exe"]
>>>  "C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WhoreCraftEp1\Epic Redist Package.lnk"        -> ["C:\Games\Binaries\Redist\UE3Redist.exe"]
>>>  "C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WhoreCraftEp1\UnrealEngine3.pif"    -> ["C:\Games\Binaries\Win32\UDK.com"]
>>>  "C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WhoreCraftEp1\Unreal Development Kit.lnk"     -> ["C:\Games\Binaries\Win32\UDK.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnk"        -> ["C:\Program Files\Android\Android Studio\bin\studio64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoCAD 2022 — Русский (Russian)\Утилита перемещения лицензий — AutoCAD 2022.lnk"           -> ["C:\Program Files (x86)\Common Files\Autodesk Shared\Adlm\R23\LTU.exe"  =>> 001N1 2022.0.0.F -d SA -l ru-RU]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoCAD Architecture 2022 — Русский (Russian)\Утилита перемещения лицензий — AutoCAD Architecture 2022.lnk"     -> ["C:\Program Files (x86)\Common Files\Autodesk Shared\Adlm\R23\LTU.exe"  =>> 185N1 2022.0.0.F -d SA -l ru-RU]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk 3ds Max 2022\License Transfer Utility - 3ds Max 2022.lnk"       -> ["C:\Program Files (x86)\Common Files\Autodesk Shared\AdLM\R23\LTU.exe"  =>> 128N1 2022.0.0.F -d SA -l en_US]

Отчёт о работе прикрепите.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Helper.exe','');
 DeleteFile('C:\Users\shakh\AppData\Roaming\Microsoft\Windows\Helper.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','YandexDisk2','x64');
ExecuteWizard('SCU',2,2,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте его через этот сервис.
После получения результатов дайте ссылку на отчёт.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Mirrak05** · 25.10.2021, 13:07

Выполнил все процедуры. Высылаю все необходимые файлы.

**Vvvyg** · 25.10.2021, 14:19

Если карантин не грузится по назначению - не надо его крепить к сообщению, он просто пуст. А если не пуст - тем более, не надо, там вирусы и Вы их на форуме в общий доступ выложите

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-4208634918-530404884-4283699443-1001\...\MountPoints2: {377c36e7-254b-11ec-b0da-f02f74478ae8} - "D:\AutoRun.exe" 
2021-10-15 11:27 - 2021-10-15 11:27 - 000005102 _____ C:\ProgramData\cxovxgxn.lij
2021-10-15 11:22 - 2021-10-15 11:22 - 000004181 _____ C:\ProgramData\qlzflasl.nzw
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhjihljp [0]
AlternateDataStreams: C:\Users\shakh\Application Data:bc6be3eabffaddc099151eee7bdd94ee [394]
FirewallRules: [TCP Query User{951F6762-74AF-463B-AFCA-C36DD693CC17}C:\gang beasts v1.3\gang beasts.exe] => (Allow) C:\gang beasts v1.3\gang beasts.exe => Нет файла
FirewallRules: [UDP Query User{BC9B1F7E-662A-4CB7-AC0F-9D3861E3C6DA}C:\gang beasts v1.3\gang beasts.exe] => (Allow) C:\gang beasts v1.3\gang beasts.exe => Нет файла
FirewallRules: [{C6E52E57-6B49-423F-8967-5B19A9273AD4}] => (Allow) C:\Programs\Nox\bin\Nox.exe => Нет файла
FirewallRules: [{814BCAE6-9857-4910-AE5C-1971D0E78E86}] => (Allow) C:\Program Files (x86)\Bignox\BigNoxVM\RT\NoxVMHandle.exe => Нет файла
FirewallRules: [{64DDAF7B-5DDD-4271-96A5-E1668532A16E}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [TCP Query User{8EED6D89-FD1C-479E-AB52-CEFD06B3D9AE}C:\program files (x86)\steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{328972E5-AD87-432A-BB1C-F923F88AA412}C:\program files (x86)\steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\peekaboo\peekaboo\binaries\win64\peekaboo-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{F806F6FB-AA7B-4700-9077-63ECAAE4261D}C:\games\efootball pes 2021\pes2021.exe] => (Allow) C:\games\efootball pes 2021\pes2021.exe => Нет файла
FirewallRules: [UDP Query User{206A1F89-0D66-4BC5-A483-CEF88C8C65DF}C:\games\efootball pes 2021\pes2021.exe] => (Allow) C:\games\efootball pes 2021\pes2021.exe => Нет файла
FirewallRules: [TCP Query User{4436236F-F062-4AC8-8796-5E21A55B431B}C:\users\shakh\downloads\succubus_cafe\succubus.cafe_1.1.2\succubuscafe.exe] => (Block) C:\users\shakh\downloads\succubus_cafe\succubus.cafe_1.1.2\succubuscafe.exe => Нет файла
FirewallRules: [UDP Query User{CA6DC878-A766-439C-AEBA-96ED27F6CF40}C:\users\shakh\downloads\succubus_cafe\succubus.cafe_1.1.2\succubuscafe.exe] => (Block) C:\users\shakh\downloads\succubus_cafe\succubus.cafe_1.1.2\succubuscafe.exe => Нет файла
FirewallRules: [TCP Query User{BA38EA15-EF58-44E4-BF09-2223E6A490ED}C:\users\shakh\downloads\she will punish them\she will punish them.exe] => (Block) C:\users\shakh\downloads\she will punish them\she will punish them.exe => Нет файла
FirewallRules: [UDP Query User{31DA3169-49F9-41DC-BFC9-6123EE5A1C43}C:\users\shakh\downloads\she will punish them\she will punish them.exe] => (Block) C:\users\shakh\downloads\she will punish them\she will punish them.exe => Нет файла
FirewallRules: [TCP Query User{76569955-861D-476F-B35A-25A4AE68FF34}C:\program files (x86)\101xp game center\launcher101xp.exe] => (Allow) C:\program files (x86)\101xp game center\launcher101xp.exe => Нет файла
FirewallRules: [UDP Query User{9B454FFC-AC9A-4E8A-A08B-F7B178C68D03}C:\program files (x86)\101xp game center\launcher101xp.exe] => (Allow) C:\program files (x86)\101xp game center\launcher101xp.exe => Нет файла
FirewallRules: [TCP Query User{1D625E16-2BA5-4EC6-8258-94B98AEA0828}C:\program files (x86)\steam\steamapps\common\terraria\terrariaserver.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\terraria\terrariaserver.exe => Нет файла
FirewallRules: [UDP Query User{B890A86D-00AD-4891-B406-ED7DCF9A3C87}C:\program files (x86)\steam\steamapps\common\terraria\terrariaserver.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\terraria\terrariaserver.exe => Нет файла
FirewallRules: [TCP Query User{5FA60A33-A4C3-46B7-BB7E-CE46566FC26C}C:\scdev\developerarchives130\succubuscafe.exe] => (Block) C:\scdev\developerarchives130\succubuscafe.exe => Нет файла
FirewallRules: [UDP Query User{4C9C477E-6ADE-4CFC-9E10-42B2802ECB38}C:\scdev\developerarchives130\succubuscafe.exe] => (Block) C:\scdev\developerarchives130\succubuscafe.exe => Нет файла
FirewallRules: [TCP Query User{77667AEA-B59B-4E1C-A0CD-9546CE4679E9}C:\program files (x86)\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\7 days to die\7daystodie.exe () [Файл не подписан]
FirewallRules: [UDP Query User{753AC1AB-5E37-4C83-888F-8248CD526ED8}C:\program files (x86)\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\7 days to die\7daystodie.exe () [Файл не подписан]
FirewallRules: [TCP Query User{D33A1E95-8D42-440E-BC08-50A5B6728499}C:\games\stools\sexwithdevil\binaries\win64\sexwithdevil-win64-shipping.exe] => (Block) C:\games\stools\sexwithdevil\binaries\win64\sexwithdevil-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7BC80893-F4AE-499D-BBA5-6DD0796752D2}C:\games\stools\sexwithdevil\binaries\win64\sexwithdevil-win64-shipping.exe] => (Block) C:\games\stools\sexwithdevil\binaries\win64\sexwithdevil-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{FC7EADE8-2E13-4BE3-96AF-25D94193D5FE}D:\dying light enhanced edition12\dyinglightgame.exe] => (Allow) D:\dying light enhanced edition12\dyinglightgame.exe => Нет файла
FirewallRules: [UDP Query User{88B5775A-B730-46E4-A7FE-C0BDE5C588FC}D:\dying light enhanced edition12\dyinglightgame.exe] => (Allow) D:\dying light enhanced edition12\dyinglightgame.exe => Нет файла
FirewallRules: [{AAFD4C2B-9D84-412C-B480-DF0F30A7E7EE}] => (Allow) C:\Users\shakh\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{6BDC71A0-97D2-43F4-836E-2EAFA68075F4}] => (Allow) C:\Users\shakh\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{66C65A99-5C6C-4C8F-859C-4B58ED3264FF}C:\games\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) C:\games\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{157712D9-B14D-459A-A5AB-20B3D69D5ABB}C:\games\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) C:\games\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{C6B7D8E9-6B50-41D1-B5C5-D163BD205B1E}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [UDP Query User{6127994E-F915-4B64-B7D2-AD1994AA92FE}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла
FirewallRules: [TCP Query User{B52AA5FF-1EC2-4A7D-91E0-628A74AC1611}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
FirewallRules: [UDP Query User{66FED946-DA75-4750-A50C-F110D7BC2CE4}C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\paladins\binaries\win64\paladins.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Mirrak05** · 25.10.2021, 15:20

Прошу прощения, очень спешил, а с ответом затягивать не хотел, поэтому и случился такой конфуз. Впредь буду внимателен. Файл карантина удалил, указав причину удаления.
Файл Fixlog.txt прикрепил. Проблема исчезла. Я безмерно благодарен Вам, и обязательно пожертвую Вашему проекту, немного, но хоть что-то. Еще раз спасибо, Ваша безвозмездная помощь поражает.
А как я могу поддержать проект, есть ли ссылка на страницу для пожертвований?

**Vvvyg** · 25.10.2021, 15:30

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Компьютер заразился майнером attrib.exe (заявка № 227270)

Опции темы