Добрый день. С наступившим новым годом. Вы уже мне помогали в этой теме https://virusinfo.info/showthread.php?t=229927 и проблема была решена, но сегодня она вернулась. Прям один в один. При старте Винды запускается майнер с теми же самыми параметрами. Жрёт 20% cpu, 2.5 гига оперативки и подсоединяется к какому-то vps.
Но почему проблема вернулась не могу понять. всякие exe файлы не открываю в сети, Ublock Origin Lite режет обычно возможные скрипты в браузере, MS Defender всегда включён, будто обновление Виндоус докачало его.
Прогнал быстро AVZ в надежде найти нужный файл и отправить его в карантин и тут никого не беспокоить, но он ничего не нашел. Autologger и другая сущность AVZ запускалась во время работы майнера.
Там где майнер прятался раньше (по пути скрипта, который вы давали) вся папка вчера обновилась в 12:45. Что это, непонятно? Майнер себя восстановил из какого-то кеша Виндоус?
Вчера появились exe файлы в 12:45 согласно поиску Everything в C:\Users\1.3\AppData\Local\syscacheapp\rescache64 Вчера точно ничего не устанавливал. В Установленных программах последняя дата 31 число. Остальные exe от 31 декабря и старше.
Есть так же результат анализа дампа cmd процесса, но не вижу какой файл запустил его.
Так же попробовал universal Virus Sniffer, но видимо я недопонял инструкцию как им пользоваться, тоже без результата.
Помогите пожалуйста его еще раз удалить. А то такое ощущение, что сама Винда где-то заражена и докачивает его, те эффективнее всего будет перекинуть все файлы с диска С на другой, и сделать чистую установку с флешки с форматированием. Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bambuker, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Скачайте KVRT.
Запустите утилиту, подтвердите согласие с условиями использования, нажмите на кнопку "Изменить параметры" и выберите, кроме уже отмеченных, все разделы.
Запустите проверку. По завершении прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
1. Выполнил скрипт. Компьютер перезагрузился. После перезапуска майнер не запустился, стало опять нормально.
2. Через HijackThis смог пофиксить только две 022 строки. Строки F2 не нашел. Нет записей ни про shell, ни про cacheapp64 Я даже посмотрел в реестре и там её нет. Только shell на Explorer.exe. Перезагрузил пк.
Скрины:
3. Проверил компьютер утилитой Касперского 4 часа с чем-то что-то проверяло со всеми галочками. Нашел один троян,
но при попытке лечения утилита зависла, другие программы при попытке открытия начали выдавать ошибки, диспетчер задач не открывался и т.д. Пришлось принудительно перезагрузить на 10 минуте лечения.
После перезагрузки повторно запустил KVRT с разделами по умолчанию, где System Memory и Системным разделом. В этот раз ничего не нашло.
Прикладываю оба файла отчета.
report_2026.01.03_16.45.56.klr с трояном должен быть
report_2026.01.03_21.27.52.klr после зависания программы и повторного сканирования
На данным момент после каждой перезагрузки майнер не включается. Могу еще провести какое сканирование если нужно. Если нет, то огромное спасибо уже повторно и хороших вам новогодних выходных.
Дублирую сообщение через быстрый ответ. Через расширенный ответ похоже не опубликовалось.
1. Выполнил скрипт. Компьютер перезагрузился. После перезапуска майнер не запустился, стало опять нормально.
2. Через HijackThis смог пофиксить только две 022 строки. Строки F2 не нашел. Нет записей ни про shell, ни про cacheapp64. Я даже посмотрел в реестре и там её нет. Только shell на Explorer.exe. Перезагрузил пк.
Скрины:
3. Проверил компьютер утилитой Касперского 4 часа с чем-то что-то проверяло со всеми галочками. Нашел один троян,
но при попытке лечения утилита зависла, другие программы при попытке открытия начали выдавать ошибки, диспетчер задач не открывался и т.д. Пришлось принудительно перезагрузить на 10 минуте лечения.
После перезагрузки повторно запустил KVRT с разделами по умолчанию, где System Memory и Системным разделом. В этот раз ничего не нашло.
Прикладываю оба файла отчета.
report_2026.01.03_16.45.56.klr с трояном должен быть
report_2026.01.03_21.27.52.klr после зависания программы и повторного сканирования https://workupload.com/file/U6RGX64Wvxa
На данным момент после каждой перезагрузки майнер не включается. Могу еще провести какое сканирование если нужно. Если нет, то огромное спасибо уже повторно и хороших вам новогодних выходных.
Вижу, оба моих ответа от 3 и 5 числа не были опубликованы. Попробую без ссылок на картинки и прикреплённых файлов. Спасибо, скрипт на удаление сработал, майнер больше не беспокоит. Манипуляции с HijackThis(строки F2 не было) и KVRT(4 часа с чем-то что-то проверяло со всеми галочками. Нашел один троян в System Memory, но при попытке лечения утилита зависла, другие программы при попытке открытия начали выдавать ошибки, диспетчер задач не открывался и т.д. Пришлось принудительно перезагрузить на 10 минуте лечения. После перезагрузки повторно запустил KVRT с разделами по умолчанию, где System Memory и Системным разделом. В этот раз ничего не нашло.) также провёл. Также нашёл на форуме Касперского источник майнера на ПК — libEGL.dll на 525.00 KB, он и создавал папку с майнером. То есть сейчас проблема решена, ещё раз большое спасибо!
Последний раз редактировалось bambuker; Вчера в 10:08.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
.png)
.png)
