Вирус в папке Windows/Temp, который грузит процессор. [HEUR:Trojan-Downloader.Script.SLoad.gen, not-a-virus:HEUR:AdWare.Win32= =2ENeoreklami.gen]

[Maxiiim]

Здравствуйте! Поймал какой-то вирус, однажды включил комп, и заметил, что в простое сильно гудит, посмотрел в speedfun температуры, и видеокарта и процессор под 60 градусов. Открыл диспетчер задач, чтобы посмотреть что грузит, и сразу нагрузка упала и видеокарта с процессором начали остывать. Скачал антивирус dr.web почистил вирусы, с видеокартой после этого не было проблем, а проц дальше грелся, только когда открыт диспетчер задач открыт его не грузило, так как тот вирус выключался, чтобы не палиться. Я открыл диспетчер задач, там во вкладке производительность открыл монитор ресурсов, а сам диспетчер закрыл, этот вирус заработал, высветился в этом мониторе ресурсов и я смог открыть его расположение. Находится он на диске С, Windows/Temp. Называется он примерно так: g3E8E. Там было несколько таких файлов с похожими названиями, но грузил один, они как-то вместе связаны. Если их всех удалить, то после перезапуска компа они снова там появляются и работают дальше. А ещё, они перестают работать, если выдернуть кабель интернета. Короче работают как вирусы для майнеров, которые используют вычислительную мощность чужих компов. Вроде бы всё.

[Info_bot]

Уважаемый(ая) Maxiiim, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Ждём логи по правилам.

[Maxiiim]

Вот логи

[Vvvyg]

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\adshield\svc.exe');
 TerminateProcessByName('c:\windows\temp\sppsvc.exe');
 StopService('adshieldsvc');
 QuarantineFile('C:\Program Files (x86)\AdShield\libcrypto-1_1.dll', '');
 QuarantineFile('C:\Program Files (x86)\AdShield\libssl-1_1.dll', '');
 QuarantineFile('C:\Program Files (x86)\AdShield\MSVCP140_1.dll', '');
 QuarantineFile('c:\program files (x86)\adshield\svc.exe', '');
 QuarantineFile('C:\Program Files (x86)\AdShield\updater.exe', '');
 QuarantineFile('C:\Program Files (x86)\BIjiUDbcwIE\kJe1N7cX.dll', '');
 QuarantineFile('C:\Program Files (x86)\BIjiUDbcwIE\tHIXVKsZt.dll', '');
 QuarantineFile('C:\Program Files (x86)\HYFUTLkTSgAU2\LetzQjxkyCyyA.dll', '');
 QuarantineFile('C:\Program Files (x86)\QpSoxVj\QpSoxVj.dll', '');
 QuarantineFile('C:\Program Files (x86)\TMPxRiOdU\ezjkCy.dll', '');
 QuarantineFile('C:\ProgramData\cCjDGqfufCNhvYVB\HzIrzdv.wsf', '');
 QuarantineFile('C:\ProgramData\WindowsMenu\westat.exe', '');
 QuarantineFile('C:\Users\Maxim\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '');
 QuarantineFile('C:\Users\Maxim\AppData\Local\Temp\nmpjrpz4.hjf\nuwpqicunde.exe', '');
 QuarantineFile('C:\Users\Maxim\AppData\Local\Temp\yb2.exe', '');
 QuarantineFile('C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Update\UpdateHelper.exe', '');
 QuarantineFile('C:\Users\Maxim\AppData\Roaming\utctimer\utc.exe', '');
 QuarantineFile('c:\windows\temp\sppsvc.exe', '');
 QuarantineFileF('c:\program files (x86)\bijiudbcwie', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\hyfutlktsgau2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\qpsoxvj', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\program files (x86)\tmpxriodu', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\maxim\appdata\roaming\microsoft\windows\update', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Program Files (x86)\AdShield\libcrypto-1_1.dll', '');
 DeleteFile('C:\Program Files (x86)\AdShield\libssl-1_1.dll', '');
 DeleteFile('C:\Program Files (x86)\AdShield\MSVCP140_1.dll', '');
 DeleteFile('c:\program files (x86)\adshield\svc.exe', '');
 DeleteFile('C:\Program Files (x86)\AdShield\svc.exe', '64');
 DeleteFile('C:\Program Files (x86)\AdShield\updater.exe', '64');
 DeleteFile('C:\Program Files (x86)\BIjiUDbcwIE\kJe1N7cX.dll', '');
 DeleteFile('C:\Program Files (x86)\BIjiUDbcwIE\kJe1N7cX.dll', '32');
 DeleteFile('C:\Program Files (x86)\BIjiUDbcwIE\tHIXVKsZt.dll', '64');
 DeleteFile('C:\Program Files (x86)\HYFUTLkTSgAU2\LetzQjxkyCyyA.dll', '64');
 DeleteFile('C:\Program Files (x86)\QpSoxVj\QpSoxVj.dll', '64');
 DeleteFile('C:\Program Files (x86)\TMPxRiOdU\ezjkCy.dll', '64');
 DeleteFile('C:\ProgramData\cCjDGqfufCNhvYVB\HzIrzdv.wsf', '64');
 DeleteFile('C:\ProgramData\WindowsMenu\westat.exe', '64');
 DeleteFile('C:\Users\Maxim\appdata\local\browserupdphenix\browserupdphenix.exe', '');
 DeleteFile('C:\Users\Maxim\AppData\Local\Browserupdphenix\Browserupdphenix.exe', '64');
 DeleteFile('C:\Users\Maxim\AppData\Local\Temp\nmpjrpz4.hjf\nuwpqicunde.exe', '32');
 DeleteFile('C:\Users\Maxim\AppData\Local\Temp\nmpjrpz4.hjf\nuwpqicunde.exe', '64');
 DeleteFile('C:\Users\Maxim\AppData\Local\Temp\yb2.exe', '32');
 DeleteFile('C:\Users\Maxim\AppData\Local\Temp\yb2.exe', '64');
 DeleteFile('C:\Users\Maxim\AppData\Roaming\Microsoft\Windows\Update\UpdateHelper.exe', '64');
 DeleteFile('C:\Users\Maxim\AppData\Roaming\utctimer\utc.exe', '64');
 DeleteFile('c:\windows\temp\sppsvc.exe', '');
 DeleteService('adshieldsvc');
 DeleteService('QMEmulatorService');
 DeleteFileMask('c:\program files (x86)\adshield', '*', true);
 DeleteFileMask('c:\program files (x86)\bijiudbcwie', '*', true);
 DeleteFileMask('c:\program files (x86)\hyfutlktsgau2', '*', true);
 DeleteFileMask('c:\program files (x86)\qpsoxvj', '*', true);
 DeleteFileMask('c:\program files (x86)\tmpxriodu', '*', true);
 DeleteFileMask('c:\programdata\windowsmenu', '*', true);
 DeleteFileMask('c:\users\maxim\appdata\local\browserupdphenix', '*', true);
 DeleteFileMask('c:\users\maxim\appdata\roaming\microsoft\windows\update', '*', true);
 DeleteFileMask('c:\users\maxim\appdata\roaming\utctimer', '*', true);
 DeleteDirectory('c:\program files (x86)\adshield');
 DeleteDirectory('c:\program files (x86)\bijiudbcwie');
 DeleteDirectory('c:\program files (x86)\hyfutlktsgau2');
 DeleteDirectory('c:\program files (x86)\qpsoxvj');
 DeleteDirectory('c:\program files (x86)\tmpxriodu');
 DeleteDirectory('c:\programdata\windowsmenu');
 DeleteDirectory('c:\users\maxim\appdata\local\browserupdphenix');
 DeleteDirectory('c:\users\maxim\appdata\roaming\microsoft\windows\update');
 DeleteDirectory('c:\users\maxim\appdata\roaming\utctimer');
 DelBHO('{D66F89F5-3AA9-4682-8D12-773042AF857F}');
 DeleteSchedulerTask('AdShield scheduled autoupdate');
 DeleteSchedulerTask('bkuDxteYrfmSTMeheIc');
 DeleteSchedulerTask('bkuDxteYrfmSTMeheIc.job');
 DeleteSchedulerTask('bkumFIMKdacufODaJpU');
 DeleteSchedulerTask('bkumFIMKdacufODaJpU.job');
 DeleteSchedulerTask('Browserupdphenix');
 DeleteSchedulerTask('fltMhdOsmhPWyxm2');
 DeleteSchedulerTask('IObitSelfCheckTask');
 DeleteSchedulerTask('LenYUMVtweMhCQ');
 DeleteSchedulerTask('Microsoft\QuickLaunch');
 DeleteSchedulerTask('Microsoft\Windows\PerfTrack\UtcTimeViewer');
 DeleteSchedulerTask('Microsoft\Windows\Starter');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1559225507');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1559225505');
 DeleteSchedulerTask('QpSoxVj');
 DeleteSchedulerTask('ueQQxKuCSAVWe2');
 DeleteSchedulerTask('Windows Update');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O15 - Trusted Zone: http://webcompanion.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{1173bd4b-8926-4b3d-ba03-d345e9c71853}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{1173bd4b-8926-4b3d-ba03-d345e9c71853}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{9b71f3f1-3479-11e9-963b-806e6f6e6963}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{9b71f3f1-3479-11e9-963b-806e6f6e6963}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\..\{f857b0cc-e61d-49b8-b825-0b3d2a903819}: [NameServer] = 142.4.214.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{f857b0cc-e61d-49b8-b825-0b3d2a903819}: [NameServer] = 185.201.47.42
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Maxiiim]

Когда попробовал запустить скрипт этот большой выдало ошибку Undeclared identifier: 'DeleteSchedulerTask' в позиции 73:21

[Vvvyg]

Написал ведь:

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe

А Вы старую версию где-то выкопали.

[Maxiiim]

Скачал новую версию авз. Скинул зип файл карантина.

- - - - -Добавлено - - - - -

Вот документы после сканирования

[Vvvyg]

Скачал новую версию авз.

Она у Вас уже была в составе Autologger.

Вот документы после сканирования

Сканировали FRST до, или после выпонения скрипта в AVZ? Впечатление, что до, если так - переделайте логи FRST, и постарайтесь выполнять рекомендации точно и в порядке, в котором они даны.

[Maxiiim]

Сделал всё заново, сбросил снова зип файл карантина, и прикрепляю FRST и addition

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\MountPoints2: {3760cbc7-3a95-11e9-964b-7085c28266ef} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\MountPoints2: {fd4f8484-8eff-11ea-96d5-7085c28266ef} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\MountPoints2: {fd4f84c7-8eff-11ea-96d5-7085c28266ef} - "E:\HiSuiteDownLoader.exe" 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {3B5E8D5F-AD57-46CF-835E-0BC54F10BD78} - System32\Tasks\QpSoxVj => C:\WINDOWS\system32\rundll32.exe "C:\Program Files (x86)\QpSoxVj\QpSoxVj.dll",QpSoxVj <==== ВНИМАНИЕ
FF SearchPlugin: C:\Users\Maxim\AppData\Roaming\Mozilla\Firefox\Profiles\evhzz86s.default\searchplugins\cdnsearch.xml [2021-03-07]
FF Extension: (Нет имени) - C:\Program Files\Mozilla Firefox\browser\features\{AF1A62F0-23E7-47C1-8628-802F68330C98}.xpi [2021-03-07] [не подписан]
CHR HKU\S-1-5-21-294847313-1374808524-2898489803-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
OPR Extension: (YoutubeDownloader) - C:\Users\Maxim\AppData\Roaming\Opera Software\Opera Stable\Extensions\eemjbjiknmbpjlmbncfgemglailcfpbh [2021-03-07]
OPR Extension: (Find-it.pro) - C:\Users\Maxim\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig [2021-03-07]
OPR Extension: (Нет имени) - C:\Users\Maxim\AppData\Roaming\Opera Software\Opera Stable\Extensions\ophalhimnllhmiobodmljddfnpnjinon [2020-07-30]
S2 aow_drv; \??\D:\games\TxGameAssistant\UI\2.0.12708.123\aow_drv_x64_ev.sys [X]
2021-03-14 20:41 - 2021-03-14 20:41 - 000000000 ____D C:\Users\Maxim\AppData\LocalLow\BzltggIhZluBl
2021-03-11 00:47 - 2019-04-27 08:32 - 000000000 ____D C:\ProgramData\6916535661073716385
2021-03-07 18:13 - 2021-03-15 18:47 - 000000000 ____D C:\ProgramData\cCjDGqfufCNhvYVB
2021-03-07 18:13 - 2021-03-11 00:40 - 000000000 ____D C:\Program Files (x86)\MfgGzJDxsOUn
2021-03-07 18:13 - 2021-03-11 00:30 - 000000000 ____D C:\Program Files (x86)\KzsULwCoXvBIubmgKOR
2021-03-07 18:13 - 2021-03-11 00:30 - 000000000 ____D C:\Program Files (x86)\COskvpFvdHFZC
2021-03-07 18:12 - 2021-03-15 18:48 - 000000000 ____D C:\Program Files (x86)\QpSoxVj
2021-03-07 18:12 - 2021-03-07 18:12 - 000000000 ____D C:\Users\Maxim\AppData\Roaming\lighteningplayer
2021-03-07 18:12 - 2021-03-07 18:12 - 000000000 ____D C:\Users\Maxim\AppData\Roaming\305f85d54dd2bd55.80087137_
2021-03-07 18:12 - 2021-03-07 18:12 - 000000000 ____D C:\ProgramData\frPPRvNppfVvTFf
2021-03-07 18:12 - 2021-03-07 18:12 - 000000000 _____ C:\Program Files (x86)\temp_files
2021-03-07 18:10 - 2021-03-07 18:13 - 000000000 ____D C:\Users\Maxim\AppData\Roaming\YoutubeDownloader_upd
2021-03-07 18:10 - 2021-03-07 18:12 - 000000000 ____D C:\Program Files (x86)\lighteningplayer
2021-03-07 18:10 - 2021-03-07 18:10 - 000000000 ____D C:\Users\Maxim\AppData\Roaming\Python
AlternateDataStreams: C:\Users\Maxim\Application Data:77a575add9465d78c606d381e5f202fb [394]
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{25FC9655-D7A7-4435-9F0D-363C5BC8AAFA}_is1" /f /reg:32
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{44d20517-229d-4407-a499-f4ece8cc31cb}" /f /reg:32
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://find-it.pro/?utm_source=distr_m
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\StartupApproved\Run: => "Chromium"
HKU\S-1-5-21-294847313-1374808524-2898489803-1001\...\StartupApproved\Run: => "MediaGet2"
FirewallRules: [{D159E963-0397-4E47-B347-6D0E1AB409B8}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
FirewallRules: [{41376E1D-6D93-4999-817C-13712F2E17DE}] => (Allow) C:\Program Files (x86)\AdShield\updater.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Проблема решена, полагаю?

[Maxiiim]

А этот код куда вводить?

[Vvvyg]

Никуда, выполняйте в точности, как написано.

[Maxiiim]

Проблема решена. В начале были те файлы вирусные, но не работали, потом я их удалил, перезапустил комп и они больше не появляются. Спасибо вам большое, прикрепляю файл Fixlog.

[Vvvyg]

Удалите в Opera расширения: YoutubeDownloader, Find-it.pro и ещё одно, без имени.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Сделайте лог Malwarebytes AdwCleaner.

[Maxiiim]

А у меня оперы нету

[Vvvyg]

Значит, профиль остался.
Удалите папку

Код:

C:\Users\Maxim\AppData\Roaming\Opera Software\Opera Stable

Иначе, если установите, вылезут адварные расширения.

[Maxiiim]

Удалил ту папку. Просканировал Malwarebytes AdwCleaner и прикрепил логи.

[Vvvyg]

Всё на этом.

Запустите AdwCleaner, меню Параметры - Удалить AdwCleaner (в самом низу) - выберите Удалить.

[Maxiiim]

Готово. Спасибо вам большое