Загрузка центрального процессора [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.Agentb.gen]

SQ · 06.03.2021, 19:43

Проверьте пожалуйста файл на портале virustotal.com:

Код:

2021-02-27 11:55 - 2021-03-06 09:03 - 000155168 ____A [A0E17640B020A6B7DF1B4CCE0C176141] () C:\ProgramData\Slack\Slack.exe

и сообщите пожалуйста результат.

Уточните пожалуйста если не запускать slack воспроизводиться ли ваша проблема?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Денис Богач** · 06.03.2021, 23:25

Не проверяет файл slack.exe на virustotal.com. Загружаю файл но никаких сообщений не выводится. Прикладываю скрины.
https://cloud.mail.ru/public/ajr4/JqLpvwGbb
https://cloud.mail.ru/public/Fs8c/Xe44HEhyJ
https://cloud.mail.ru/public/DE7v/Yem3NwBYT
То что файл slack.exe вирусный тут без вариантов, я его не запускаю.
Попробовал запустить его, но антивирус McAfee поместил в карантин, я его удалил из карантина, но после перезагрузки компьютера он снова был в папке как ни в чём не бывало.

SQ · 07.03.2021, 06:27

Давайте возьмем весь каталог в карантин, я его отправлю на исследование.

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Folder: C:\hp
Folder: C:\ProgramData\VkontaekatDJ
Zip: C:\ProgramData\Slack;C:\ProgramData\Flock;C:\Program Files (x86)\BdAKRcyEFIE;C:\ProgramData\rJOKrOTOvoFGzgVB;C:\ProgramData\VkontaekatDJ
2021-02-28 10:05 - 2020-10-14 10:21 - 000000000 ____D C:\ProgramData\rJOKrOTOvoFGzgVB
2021-02-28 10:03 - 2020-10-14 10:21 - 000000000 ____D C:\Program Files (x86)\BdAKRcyEFIE
File: C:\WINDOWS\system32\rtvcvfw64.dll
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**Денис Богач** · 07.03.2021, 07:21

Всё сделал, сформировавшийся лог-файл прикрепил на всякий случай

SQ · 07.03.2021, 22:25

Похоже по предварительным данным найдено новое вредоносное ПО, я отправил карантин на исследование в ВирЛаб, ожидайте ответа.

Код:

\bdakrcyefie\bypms49.dll -	HEUR:Trojan.Win32.Agentb.gen
\bdakrcyefie\files\kernel.js - not-a-virus:HEUR:AdWare.Script.Generic
\slack\slack.exe - HEUR:Trojan.Win64.Miner.gen
\slack\slackg.exe - HEUR:Trojan.Win64.Miner.gen

Если Вы сами не устанавливали slack то выполните следующие инструкции:

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
C:\ProgramData\Slack
C:\Program Files (x86)\BdAKRcyEFIE
C:\ProgramData\rJOKrOTOvoFGzgVB
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

**Денис Богач** · 08.03.2021, 07:57

Всё выполнил. Утилита снова в работе, как ни в чём не бывало.

SQ · 08.03.2021, 08:33

ВирЛаб подвердил детектирование вредоносного ПО.

Подготовьте пожалуйста новый лог утилиты FRST (frst.txt и addition.txt).

- - - - -Добавлено - - - - -

Также сообщите пожалуйста, что из следующего вам известно?

Код:

S3 FACEITService; D:\FACEIT AC\faceitservice.exe [19606416 2021-02-22] (FACE IT LIMITED -> )
R2 Transmission; C:\Program Files (x86)\Transmission\transmission-daemon.exe [1558232 2020-05-22] (SignPath Foundation -> Transmission Project)
S3 zksvc; C:\Program Files\Common Files\PUBG\zksvc.exe [6929144 2020-12-07] (PUBG CORPORATION -> PUBG Corporation)

Если вам ничего из этого неизвестно и если временно отключить запуск этих служб, проблема проявляется?

**Денис Богач** · 08.03.2021, 08:59

Этот известен:
S3 FACEITService; D:\FACEIT AC\faceitservice.exe [19606416 2021-02-22] (FACE IT LIMITED -> )
Остальные нет.

Addition:
https://cloud.mail.ru/public/Scrs/N1fPSgqk3

SQ · 09.03.2021, 02:29

Удалите старые вложения Мой кабинет => Вложения

Закройте и сохраните все открытые приложения.

Выделите следующий код::

Код:

Start::
CreateRestorePoint:
CloseProcesses:
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
U3 aspnet_state; не ImagePath
2021-03-02 10:33 - 2021-03-08 10:40 - 000000258 __RSH C:\ProgramData\ntuser.pol
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST/FRST64 (от имени администратора).
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
Обратите внимание, что компьютер будет перезагружен.

Могли бы просканировать вашу систему утилитой KVRT (предварительно отключив ваш антивирус перед сканированием)

**Денис Богач** · 09.03.2021, 10:54

Скрипт выполнил. Лог прикрепил.
KVRT проверку провёл, всё что вирусом признавалось удалил. Скрины в облаке.
https://cloud.mail.ru/public/fSSo/kBPkgJxwF
https://cloud.mail.ru/public/m3kc/A5hdvyJwa
https://cloud.mail.ru/public/m5tz/Eck9EEyfG
https://cloud.mail.ru/public/2c24/GV6f3ioUG
https://cloud.mail.ru/public/tgkc/w98LScwz5

В общем не с первого раза добился очистки от всего.
Но! Нужно сказать, что после всех мероприятий процесс больше не включается. KVRT ничего не находит.

SQ · 09.03.2021, 13:56

Отлично, активное вредоносное ПО, которое восстанавливало работу процессов, находился тут:

Код:

C:\Program Files (x86)\Transmission

Если вы уверены, что этот каталог вам неизвестен и не нужен, то деинсталируйте эту программу через установку приложений в панели управления.

Завершающие шаги, если проблема не воспроизводиться, то:

1. Пожалуйста, запустите adwcleaner.exe
В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

**Денис Богач** · 09.03.2021, 16:31

Всё сделал.

SQ · 10.03.2021, 02:01

Здравствуйте,

ознакомьтесь с рекомендациями:

---------------------- [ AntiVirusFirewallInstall ] -----------------------
McAfee LiveSafe v.16.0 R26 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 21.00 alpha (x64) v.21.00 alpha Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
---------------------------- [ UnwantedApps ] -----------------------------
WindowsRar 5.72.0.5625 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

**Денис Богач** · 10.03.2021, 11:15

Прикрепил текстовый файл после сканирования Malwarebytes всё отправил в карантин
AdwCleaner логи прикрепил, в первом добавил в исключения папки и сделал второе сканирование

SQ · 10.03.2021, 13:45

Сообщение от Денис Богач

Прикрепил текстовый файл после сканирования Malwarebytes всё отправил в карантин

Похоже на хвосты от вредоносного ПО в реетре были. Попробуйте перепроверить еще раз утилитой KVRT но необходимо скачать его заново, как она выпускатся раз в два часа с новыми сигнатурами баз-данных.

**Денис Богач** · 10.03.2021, 17:54

всё чисто, ничего не находит

SQ · 11.03.2021, 07:46

отлично, на этом все.

**CyberHelper** · 11.03.2021, 07:56

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 4
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 131
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. \bdakrcyefie\bypms49.dll - HEUR:Trojan.Win32.Agentb.gen
2. \bdakrcyefie\files\kernel.js - not-a-virus:HEUR:AdWare.Scrip=
  t.Generic
3. c:\programdata\rjokrotovofgzgvb\jgaudrs.wsf - HEUR:Trojan-Do=
  wnloader.Script.SLoad.gen ( AVAST4: Script:SNH-gen [Adw] )
4. \slack\slack.exe - HEUR:Trojan.Win64.Miner.gen ( AVAST4: =
  Win64:Trojan-gen )
5. \slack\slackg.exe - HEUR:Trojan.Win64.Miner.gen ( AVAST4:=
  Win64:Trojan-gen )

Загрузка центрального процессора [HEUR:Trojan.Win64.Miner.gen, HEUR:Trojan.Win32.Agentb.gen] (заявка № 226447)

Опции темы

Без изменений

Это понравилось:

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

Похожие темы

Загрузка центрального процессора 100%

Скачет загрузка центрального процессора.

Сами по себе скачат Загруженность центрального процессора и оперативной памяти

загрузка процессора 100%

проблемы с интернет эксплорер (высокая загрузка процессора)

Ваши права в разделе