Подозрение на скрытый майнер

[teblin]

На компьютере был замечен майнер, после лечения все прошло, но при проверке AVZ выскакивают красные надписи, лог прикладываю

[Info_bot]

Уважаемый(ая) teblin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:8080 (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2C7C0396-65E3-4BAC-AADD-C350F6BA7B67} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58be6338-3c64-48d1-bcd3-114908c8557b} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{58be6338-3c64-48d1-bcd3-114908c8557b} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87C35339-0704-4EA7-BE10-C079A8189923} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DC932076-BDE1-408C-9DA5-C877805EC5DA} - \Lenovo\ImController\Lenovo iM Controller Monitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System (empty)

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteService('WinSetupMon');
 DeleteSchedulerTask('CorelUpdateHelperTask-80858860F8D093F0BF4091086CB5A5EE');
 DeleteSchedulerTask('EUIYIG');
 DeleteSchedulerTask('IPJJ');
 DeleteSchedulerTask('KKWJ');
 DeleteSchedulerTask('LOIS');
 DeleteSchedulerTask('Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser');
 DeleteSchedulerTask('NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}');
 DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-3354727278-81800435-1074778100-500');
 DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-3888227983-433316598-1006036082-500');
 DeleteSchedulerTask('Red Giant Link');
 DeleteSchedulerTask('SQEZLH');
 DeleteSchedulerTask('System\SystemCheck');
 DeleteSchedulerTask('YYAGNY');
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[teblin]

Прикрепил

[Vvvyg]

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Затем сделайте новый log Farbar Recovery Scan Tool.

[teblin]

прикрепил

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [DesktopPortal] => [X]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [hjdkfkdkokphfploiiddakjokndinfgb]
CHR HKLM-x32\...\Chrome\Extension: [iepoegkaoeljnbhagabakjodgpfniimo]GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Unlock: C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
Unlock: C:\ProgramData\Malwarebytes
Unlock: 
2022-10-23 11:24 - 2022-10-23 11:27 - 000000000 __SHD C:\DrWeb Quarantine
2022-10-23 11:26 - 2020-10-06 22:21 - 000000000 ____D C:\Users\tebli\AppData\Local\Browserupdphenix
2022-10-23 11:26 - 2020-09-22 20:01 - 000000000 ____D C:\ProgramData\VkontaekatDJ
2022-10-24 11:27 - 2022-09-01 14:18 - 000000000 ____D C:\KVRT2020_Data
HKLM\...\StartupApproved\StartupFolder: => "$McRebootA5E6DEAA56$.lnk"
FirewallRules: [TCP Query User{8AA4BAC6-3A7D-4BA6-8FC3-A7FB5BB58CB1}C:\program files\advego plagiatus 3\plagiatus.exe] => (Allow) C:\program files\advego plagiatus 3\plagiatus.exe => Нет файла
FirewallRules: [UDP Query User{8FDD5AF3-5BC9-460E-BC90-828683D5299C}C:\program files\advego plagiatus 3\plagiatus.exe] => (Allow) C:\program files\advego plagiatus 3\plagiatus.exe => Нет файла
FirewallRules: [TCP Query User{D9089869-C04F-4D15-B6BF-CACB913F1FEB}C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe] => (Allow) C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe => Нет файла
FirewallRules: [UDP Query User{CC734F27-93BC-4164-8047-3A8D57F67BFF}C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe] => (Allow) C:\program files (x86)\innova\4game2.0\bin\cefsharp.browsersubprocess.exe => Нет файла
FirewallRules: [{8D138D3C-1D42-44BB-926C-87143C958F9A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Islander\The Islander.exe => Нет файла
FirewallRules: [{9FAFA597-C79C-4F7B-BE5D-690723C1A62D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Islander\The Islander.exe => Нет файла
FirewallRules: [{90F69DC0-F14C-4F1E-8902-F3930B03C80E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Pretty Girls Mahjong Solitaire\PrettyGirlsMahjongSolitaire.exe => Нет файла
FirewallRules: [{5A291812-3E2B-49C4-B30D-ABE56B512C8D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Pretty Girls Mahjong Solitaire\PrettyGirlsMahjongSolitaire.exe => Нет файла
FirewallRules: [{272C6F71-43E9-4A93-A487-9DBBA5846AC1}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Slash or Die\SoD.exe => Нет файла
FirewallRules: [{08F6001F-9196-47DB-8B31-44E9858D6A7B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Slash or Die\SoD.exe => Нет файла
FirewallRules: [{E6DA9EE6-74A7-4F2C-9416-AD8B9E992FC8}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tap Tap Infinity\TapTapInfinity.exe => Нет файла
FirewallRules: [{13E4AB0D-4B51-43EB-AA19-10FA717E6141}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tap Tap Infinity\TapTapInfinity.exe => Нет файла
FirewallRules: [{5DC4F8D3-93EE-4B32-B9E7-8706E95EC9E6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Zombidle\Zombidle.exe => Нет файла
FirewallRules: [{C9CB17F0-9C06-474B-A673-3D61A9E20575}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Zombidle\Zombidle.exe => Нет файла
FirewallRules: [TCP Query User{B9FD8473-61F3-47DB-BEE8-65C729A49DE6}D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{EB08DF3E-C1A8-4378-9765-4E0D0DBC92BE}D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [TCP Query User{74B1C01B-3E62-41CC-9945-EC06FC9EB4D2}C:\program files\allegorithmic\adobe substance 3d painter\adobe substance 3d painter.exe] => (Allow) C:\program files\allegorithmic\adobe substance 3d painter\adobe substance 3d painter.exe => Нет файла
FirewallRules: [UDP Query User{309E0177-7BAD-4FE5-8413-0E7D35A5F33A}C:\program files\allegorithmic\adobe substance 3d painter\adobe substance 3d painter.exe] => (Allow) C:\program files\allegorithmic\adobe substance 3d painter\adobe substance 3d painter.exe => Нет файла
FirewallRules: [TCP Query User{4E1C6062-EDFD-413E-BA11-88450838CC15}C:\program files (x86)\roblox\versions\version-faf8fd6d0292406c\robloxstudiobeta.exe] => (Allow) C:\program files (x86)\roblox\versions\version-faf8fd6d0292406c\robloxstudiobeta.exe => Нет файла
FirewallRules: [UDP Query User{820904F7-49B5-4279-83B3-02CE91F4AFFD}C:\program files (x86)\roblox\versions\version-faf8fd6d0292406c\robloxstudiobeta.exe] => (Allow) C:\program files (x86)\roblox\versions\version-faf8fd6d0292406c\robloxstudiobeta.exe => Нет файла
FirewallRules: [TCP Query User{93463062-FC49-47F1-AEBB-7256CF9631BB}C:\program files (x86)\blackmagic design\davinci control panels\setup utility\davinci control panels setup.exe] => (Allow) C:\program files (x86)\blackmagic design\davinci control panels\setup utility\davinci control panels setup.exe => Нет файла
FirewallRules: [UDP Query User{9D945AA5-85D9-403D-A81B-A61465C1E7BC}C:\program files (x86)\blackmagic design\davinci control panels\setup utility\davinci control panels setup.exe] => (Allow) C:\program files (x86)\blackmagic design\davinci control panels\setup utility\davinci control panels setup.exe => Нет файла
FirewallRules: [{5E8935B4-AB32-420E-A2AD-25DD3F880465}] => (Allow) D:\SteamLibrary\steamapps\common\Dark Souls Prepare to Die Edition\DATA\DARKSOULS.exe => Нет файла
FirewallRules: [{856DB8BC-F3D0-4A16-856C-482CE6202A5D}] => (Allow) D:\SteamLibrary\steamapps\common\Dark Souls Prepare to Die Edition\DATA\DARKSOULS.exe => Нет файла
FirewallRules: [{7F54E08D-4D78-4DEF-96D2-D565AA9AF183}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [{C374274A-B65B-4588-84B1-C7373A2AD9FE}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [{ABB5D755-E4B5-4AC5-AF5F-783672F384D1}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [{ECCBCB92-4500-4550-B2D7-9EA5CA0F91E9}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [{D81DD1B9-431E-435A-B274-438B64622AF7}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [{5D8E4016-4B28-4D16-B844-17DEA5FF5304}] => (Allow) D:\AnyDesk.exe => Нет файла
FirewallRules: [TCP Query User{66829C87-3515-426C-BFE4-5C0AD83D7115}C:\users\tebli\onedrive\рабочий стол\onlyfuck - ruru's adventures test\onlyfuck - ruru's adventures.exe] => (Allow) C:\users\tebli\onedrive\рабочий стол\onlyfuck - ruru's adventures test\onlyfuck - ruru's adventures.exe => Нет файла
FirewallRules: [UDP Query User{53B6F03B-89B1-4F3E-8F2A-5693A63758E3}C:\users\tebli\onedrive\рабочий стол\onlyfuck - ruru's adventures test\onlyfuck - ruru's adventures.exe] => (Allow) C:\users\tebli\onedrive\рабочий стол\onlyfuck - ruru's adventures test\onlyfuck - ruru's adventures.exe => Нет файла
FirewallRules: [TCP Query User{2CF75FBA-B064-409F-A01A-258DDB364557}C:\users\tebli\appdata\local\temp\rar$exa6764.12028\cvx_nonvr\cherryvx_nonvr.exe] => (Allow) C:\users\tebli\appdata\local\temp\rar$exa6764.12028\cvx_nonvr\cherryvx_nonvr.exe => Нет файла
FirewallRules: [UDP Query User{19E21310-6911-499A-A0BA-BA96BE0549C1}C:\users\tebli\appdata\local\temp\rar$exa6764.12028\cvx_nonvr\cherryvx_nonvr.exe] => (Allow) C:\users\tebli\appdata\local\temp\rar$exa6764.12028\cvx_nonvr\cherryvx_nonvr.exe => Нет файла
FirewallRules: [TCP Query User{15F4A62D-71A1-48EF-B7E8-A444CA8C5F1A}C:\users\tebli\onedrive\рабочий стол\nympho's path\nympho.exe] => (Allow) C:\users\tebli\onedrive\рабочий стол\nympho's path\nympho.exe => Нет файла
FirewallRules: [UDP Query User{774891A1-4CB7-41BE-8CF3-742CD77894EE}C:\users\tebli\onedrive\рабочий стол\nympho's path\nympho.exe] => (Allow) C:\users\tebli\onedrive\рабочий стол\nympho's path\nympho.exe => Нет файла
FirewallRules: [TCP Query User{C27BF62C-B1AE-4E92-9C40-1A65B11634F5}C:\program files (x86)\roblox\versions\version-698262888e864914\robloxstudiobeta.exe] => (Block) C:\program files (x86)\roblox\versions\version-698262888e864914\robloxstudiobeta.exe => Нет файла
FirewallRules: [UDP Query User{46531BE9-3FC5-43B0-8329-B2585F765B7F}C:\program files (x86)\roblox\versions\version-698262888e864914\robloxstudiobeta.exe] => (Block) C:\program files (x86)\roblox\versions\version-698262888e864914\robloxstudiobeta.exe => Нет файла
FirewallRules: [TCP Query User{0CE68C02-6813-4301-BEA3-4044D85F8E49}D:\beat saber\beat saber.exe] => (Allow) D:\beat saber\beat saber.exe => Нет файла
FirewallRules: [UDP Query User{875A708A-95A2-4EFB-8545-395FB8E32B13}D:\beat saber\beat saber.exe] => (Allow) D:\beat saber\beat saber.exe => Нет файла
FirewallRules: [TCP Query User{F9407908-8026-4947-9F60-05B62A17C6B8}C:\users\tebli\appdata\local\temp\rar$exa1108.3538\cvx_nonvr\cherryvx_nonvr.exe] => (Allow) C:\users\tebli\appdata\local\temp\rar$exa1108.3538\cvx_nonvr\cherryvx_nonvr.exe => Нет файла
FirewallRules: [UDP Query User{046D5C81-E369-42F8-B34B-2784223ABCFB}C:\users\tebli\appdata\local\temp\rar$exa1108.3538\cvx_nonvr\cherryvx_nonvr.exe] => (Allow) C:\users\tebli\appdata\local\temp\rar$exa1108.3538\cvx_nonvr\cherryvx_nonvr.exe => Нет файла
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Проверьте работу Malwarebytes.
Обновления и Защитника в системе сами отключали?

[teblin]

Защитника и обновления отключал сам

[Vvvyg]

Проверьте работу Malwarebytes.

На этот вопрос не ответили.

Все хвосты от майнера зачистили.

[teblin]

Простите просто не знаю как проверить. Огромное спасибо

[Vvvyg]

Простите просто не знаю как проверить. Огромное спасибо

Нажмите кнопку "Проверка", если запустится, после её окончания в окне "Результаты" нажмите кнопку "Сохранить результаты" -> "Текстовый файл" и прикрепите сюда.
Защитник отключен, а с Malwarebytes, судя по логам, могут быть проблемы.

[teblin]

Malwarebytes не запускается

[Vvvyg]

Вот так и думал.
Попробуйте удалить программу обычным образом. Если не получится, запустите Malwarebytes Support Tool, пробуйте очистку.
После этого, пожалуйста, сделайте новый лог Farbar Recovery Scan Tool.

[teblin]

прикрепил

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
022-10-27 13:19 - 2022-10-27 13:19 - 000181992 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\mwac.sys
2022-10-26 21:02 - 2022-10-23 18:29 - 000000147 _____ C:\WINDOWS\system32\Drivers\etc\2022-10-26_21-02_hosts.bak
2022-10-23 15:59 - 2022-09-01 14:18 - 000000000 __SHD C:\ProgramData\Malwarebytes
2022-10-23 15:59 - 2022-09-01 14:18 - 000000000 __SHD C:\Program Files\Malwarebytes
2022-10-23 11:58 - 2020-12-02 18:18 - 000000000 ____D C:\ProgramData\Doctor Web
2022-10-22 11:17 - 2020-12-02 18:18 - 000000000 ____D C:\Users\tebli\Doctor Web
AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
CMD: sfc /scannow
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Проверьте работу Защитника.