Windows application / Sega tools / тормозит комп [Trojan.Win64.Miner.aktx, not-a-virus:UDS:NetTool.Win64.Agent.a]

**Stepan13** · 01.09.2020, 16:28

Добрый день.
Принесли ноут с симптомами "тормозит невозможно".
В диспетчере виден процесс Windows application запущенный из C:\ProgramData\Sega Tools\ServiceHub.clr.x64.exe который постоянно трёт диск.
В безопасном режиме удаляется, но восстанавливаются после перезагрузки. Видимо где-то ещё сидит. Помогите избавиться пожалуйста.

лог прилагаю. во время сканирования HijackThis дважды вылетел с непонятной ошибкой.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 01.09.2020, 16:30

Уважаемый(ая) Stepan13, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 01.09.2020, 19:55

Деинсталлируйте Malwarebytes.

Выполните скрипт в AVZ из папки Autologger:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\sega tools\servicehub.clr.x64.exe');
 QuarantineFile('c:\programdata\sega tools\servicehub.clr.x64.exe', '');
 QuarantineFileF('c:\programdata\sega tools', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('c:\programdata\sega tools\servicehub.clr.x64.exe', '');
 DeleteFile('c:\programdata\sega tools\servicehub.clr.x64.exe', '64');
 DeleteFileMask('c:\programdata\sega tools', '*', true);
 DeleteDirectory('c:\programdata\sega tools');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Stepan13** · 02.09.2020, 10:11

Карантин отправил.
Логи:

**Vvvyg** · 02.09.2020, 11:44

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
(Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
S0 WdBoot; C:\WINDOWS\System32\drivers\wd\WdBoot.sys [48520 2020-09-02] (Microsoft Windows Early Launch Anti-malware Publisher -> Microsoft Corporation)
2020-09-01 00:05 - 2020-07-09 23:57 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
2020-09-02 09:45 - 2020-09-02 09:45 - 000000000 ____D C:\ProgramData\Sega Tools
CHR HKU\S-1-5-21-640907203-2389477960-789305080-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk"
FirewallRules: [{FF041CDE-5D9E-4EF5-8763-D17F9259FD77}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{6AEC66C3-3A0D-4468-84F1-DC4679653347}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
FirewallRules: [{85B32CFB-2438-41A9-BB5B-3E224FFF782D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe => No File
FirewallRules: [{3D992D9A-62C1-4A5F-A0C1-3F5D9E55B3A6}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe => No File
FirewallRules: [TCP Query User{D7F66F5B-5EBF-4A52-9996-DB118CB88EDE}C:\users\пк\appdata\local\programs\opera\67.0.3575.97\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.97\opera.exe => No File
FirewallRules: [UDP Query User{44AE428E-794B-4E58-ADCA-56A779062C8A}C:\users\пк\appdata\local\programs\opera\67.0.3575.97\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.97\opera.exe => No File
FirewallRules: [TCP Query User{F316391E-DDAD-4F1E-9CB4-0DFBE7F587A2}C:\users\пк\appdata\local\programs\opera\67.0.3575.115\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.115\opera.exe => No File
FirewallRules: [UDP Query User{D29B96EC-3D50-4D7A-939A-85288EC735D0}C:\users\пк\appdata\local\programs\opera\67.0.3575.115\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.115\opera.exe => No File
FirewallRules: [TCP Query User{DAD900AE-9703-4518-9586-F818E0372AB7}C:\users\пк\appdata\local\programs\opera\67.0.3575.137\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.137\opera.exe => No File
FirewallRules: [UDP Query User{3CB302D7-B0DE-4809-9CD9-EE008DB1E358}C:\users\пк\appdata\local\programs\opera\67.0.3575.137\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\67.0.3575.137\opera.exe => No File
FirewallRules: [{26B652C8-B25E-4233-A554-79C5B24ED975}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
FirewallRules: [{FD0F13AD-C08D-4F7B-99E8-1AE1BA3C6E81}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
FirewallRules: [{70352308-8C97-42C8-81F9-695F7C3ECBA0}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
FirewallRules: [{EFDA1678-BC7C-42BD-93AC-2107C4D32015}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
FirewallRules: [TCP Query User{3D77563F-F96D-4690-A948-5612E51100DC}C:\users\пк\appdata\local\programs\opera\68.0.3618.63\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.63\opera.exe => No File
FirewallRules: [UDP Query User{2C9F7918-D88C-46D3-A5A8-FC9A15ABBD2F}C:\users\пк\appdata\local\programs\opera\68.0.3618.63\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.63\opera.exe => No File
FirewallRules: [TCP Query User{BDBF4E3E-A6C4-4301-AEBC-8FDD8CDE1ED2}C:\program files\epic games\gtav\gta5.exe] => (Allow) C:\program files\epic games\gtav\gta5.exe (Rockstar Games, Inc. -> Rockstar Games)
FirewallRules: [UDP Query User{FCBE2E2F-B614-4A48-B183-D377383188BD}C:\program files\epic games\gtav\gta5.exe] => (Allow) C:\program files\epic games\gtav\gta5.exe (Rockstar Games, Inc. -> Rockstar Games)
FirewallRules: [TCP Query User{4F383547-5315-4580-9A0E-B7A23CC44724}C:\users\пк\appdata\local\programs\opera\68.0.3618.125\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.125\opera.exe => No File
FirewallRules: [UDP Query User{76F7C081-CC63-4DE9-A046-CBA3E19A52E0}C:\users\пк\appdata\local\programs\opera\68.0.3618.125\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.125\opera.exe => No File
FirewallRules: [TCP Query User{8B057E3D-3B28-415E-90B4-EE9D7C761F85}C:\users\пк\appdata\local\programs\opera\68.0.3618.173\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.173\opera.exe => No File
FirewallRules: [UDP Query User{AA055309-3665-4DB8-9AA9-C01A39B33D52}C:\users\пк\appdata\local\programs\opera\68.0.3618.173\opera.exe] => (Block) C:\users\пк\appdata\local\programs\opera\68.0.3618.173\opera.exe => No File
FirewallRules: [{7269F988-DA8F-43A5-AC36-F6C64B09B289}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe (Malwarebytes Inc -> Malwarebytes)
FirewallRules: [{F903EF6C-998B-4D67-A550-772C1FC3F703}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe (Malwarebytes Inc -> Malwarebytes)
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Stepan13** · 02.09.2020, 11:55

лог:

**Vvvyg** · 02.09.2020, 12:50

Или fixlog.txt неполный, или процесс не завершился. Проблема с майнером решена?

**Stepan13** · 02.09.2020, 13:55

я вытащил флешку с логом во время перезагрузки компьютера, после перезагрузки frst ещё что-то в него мог дописать?
да, похоже зловреда больше нет, большое спасибо за помощь!

**Vvvyg** · 02.09.2020, 15:40

Да, и после перезагрузки он мог дописать, если что-то сразу не смог удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Stepan13** · 02.09.2020, 16:51

лог

**Vvvyg** · 02.09.2020, 20:50

Adobe Flash Player 32 PPAPI v.32.0.0.207 Внимание! Скачать обновления

Обновите.

Игровой центр v.4.1432 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Удалите, если не устанавливали осознанно.

И всё на этом.

**Stepan13** · 02.09.2020, 22:11

Спасибо за помощь!

**CyberHelper** · 02.09.2020, 22:21

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 48
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\programdata\sega tools\uv.dll - not-a-virus:UDS:NetTool.W=
  in64.Agent.a

Windows application / Sega tools / тормозит комп [Trojan.Win64.Miner.aktx, not-a-virus:UDS:NetTool.Win64.Agent.a] (заявка № 225569)

Опции темы