Junior Member
Вес репутации
9
Trojan.Win64.Miner.gen
Вот это вот чудо появляется по пути C:\Users\youlo\AppData\Roaming\Microsoft\msvcvc\pa tch3021\msvcvc1000.dll.
Также добавляет запись в планировщик задач C:\Windows\System32\Tasks\znvcontainer
Отмечается тут HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CF267D C2-A414-41E2-9CBA-9EADDC492931}
Много раз удалял с помощью антивируса касперого. Malwarebytes и adwcleaner ничего не находят. Помогите. Больше десяти лет не было проблем, как-то сам справлялся, а тут, видать, я уже постарел, не могу понять как возвращается.
Прилагаю логи FRST:
Последний раз редактировалось Никита Соловьев; 16.01.2022 в 20:32 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bawdamua , спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект .
Junior Member
Вес репутации
9
Еще оно как-то перехватывает dns, при запуске proxifier сайты перестают резольвиться.
По хорошему, надо было логи по правилам раздела предоставить, а логи FRST не ссылками на pastebin, а вложениями...
Ну, ок, начнём с имеющихся, хотя Addition.txt неполный.
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
CHR HKU\S-1-5-21-3580074738-739942873-3176787290-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\youlo\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <не найдено>
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
2021-12-10 17:20 - 2021-12-10 17:20 - 002535012 _____ C:\WINDOWS\Minidump\121021-12093-01.dmp
2021-11-04 17:05 - 2021-11-04 17:05 - 002550796 _____ C:\WINDOWS\Minidump\110421-11421-01.dmp
2021-10-28 22:07 - 2021-10-28 22:07 - 002478492 _____ C:\WINDOWS\Minidump\102821-12468-01.dmp
2021-10-28 18:54 - 2021-12-10 17:20 - 1833833251 _____ C:\WINDOWS\MEMORY.DMP
2021-10-28 18:54 - 2021-10-28 18:54 - 002570652 _____ C:\WINDOWS\Minidump\102821-10640-01.dmp
2021-10-25 20:31 - 2021-10-25 20:31 - 000000000 ____D C:\WINDOWS\C5C1C0F0D62F4DBF81D4D7EF397C228B.TMP
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{646A7691-1193-29ED-14F8-C9AB741CD9D4}\InprocServer32 -> C:\Program Files (x86)\Common Files\System\ole32.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\youlo\AppData\Local\Microsoft\OneDrive\20.114.0607.0002\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3580074738-739942873-3176787290-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> - => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Нет файла
ContextMenuHandlers1: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
ContextMenuHandlers4: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
ContextMenuHandlers5: [DriveFS 28 or later] -> {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B} => -> Нет файла
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\x32dbg.exe - Ярлык.lnk -> C:\Users\youlo\Desktop\release\x32\x32dbg.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Готика II Классическая.lnk -> C:\Games\Gothic II\Gothic_II_Classic.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Готика II Ночь Ворона.lnk -> C:\Games\Gothic II\System\GothicStarter.exe (Нет файла) <==== Cyrillic
Shortcut: C:\Users\Default\Desktop\Google Docs.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\Default\Desktop\Google Sheets.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\Default\Desktop\Google Slides.lnk -> C:\Program Files\Google\Drive File Stream\launch.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XB1ControllerBatteryIndicator.lnk -> C:\Users\youlo\AppData\Local\Temp\Rar$EXa14792.23014\XB1ControllerBatteryIndicator.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Средства Microsoft Office 2016\Активация MS Office.lnk -> C:\Windows\Activator.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stremio\Stremio web.lnk -> C:\Users\youlo\AppData\Local\Programs\LNV\Stremio-4\stremio web.bat (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled\Gajim.lnk -> C:\Program Files\Gajim\bin\Gajim.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpotifyMOD\SpotifyMOD_Uninstall.lnk -> C:\Program Files (x86)\Spotify\SpotifyMOD_Uninstall.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.doc.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.doc (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.htm.LNK -> C:\Users\youlo\Desktop\sdf\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.htm (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.mht.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.mht (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.pdf.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.pdf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.rtf.LNK -> C:\Users\youlo\Desktop\Dzh_Kreysman_Kh_Straus_Ya_nenavizhu_tebya_tolko_ne_brosay_menya.rtf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\manual.rtf.LNK -> C:\Users\youlo\Desktop\Brutal Doom - Hell on Earth Starter Pack\manual.rtf (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\NGO_management_Part4 (1).doc.LNK -> C:\Users\youlo\Downloads\NGO_management_Part4 (1).doc (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\t40_xss.csv.LNK -> C:\Users\youlo\Desktop\t40_xss.csv (Нет файла)
Shortcut: C:\Users\youlo\AppData\Roaming\Microsoft\Office\Последние файлы\ТАРТАНОВА - Богданов Заказ №21rvd (3).docx (2).LNK -> C:\Users\youlo\Downloads\Telegram Desktop\ТАРТАНОВА - Богданов Заказ №21rvd (3).docx (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Age of Empires Definitive Edition.lnk -> C:\Games\Age of Empires Definitive Edition\AoEDE_s.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Cities Skylines - Deluxe Edition.lnk -> C:\Games\Cities Skylines - Deluxe Edition\Cities.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Cyberpunk 2077.lnk -> C:\Games\Cyberpunk 2077\bin\x64\Cyberpunk2077.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Fallout 4.lnk -> C:\Games\Fallout 4 + High Resolution Texture Pack.Steam-Rip [=nemos=]\Fallout 4\Fallout4.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Microsoft\Windows\INetCookies\Desktop\Hitman Absolution - Professional Edition.lnk -> C:\Games\Hitman Absolution - Professional Edition\HMA.exe (Нет файла)
Shortcut: C:\Users\youlo\AppData\Local\Feral Interactive\Total War ROME REMASTERED\Application.lnk -> C:\Games\Total War - ROME Remastered\Total War ROME REMASTERED.exe (Нет файла)
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt ). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Какие-то политики, групповые, пользовательские в системе используете?
Сделайте логи по правилам раздела после исправлений.
Junior Member
Вес репутации
9
Спасибо за реакцию, Vadim. Вот, прикладываю согласно правилам и запросам.
Какие-то политики, групповые, пользовательские в системе используете?
Не использую.
F8bjHz9.png
Вот так выглядит вживую. Появляется изниоткуда, дроппер невозможно установить никак.
Вложения
Последний раз редактировалось bawdamua; 16.01.2022 в 00:36 .
Ничего не появляется из ниоткуда, будем искать источник.
Сделайте в FRST такое исправление:
Код:
Start::
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CMD: gpupdate /force
End::
Fixlog.txt прикрепите.
Скачайте утилиту Universal Virus Sniffer отсюда , распакуйте архив полностью.
Скопируйте скрипт ниже в буфер обмена:
Код:
;uVS v4.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2
deltmp
regt 39
regt 41
apply
restart
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Как только появятся признаки майнера, не лечите его сразу, а сделайте полный образ автозапуска uVS .
Если не влезет (навверняка) во вложения - ссылкой на облако/файлообменник.
Junior Member
Вес репутации
9
Провел, приложил. Есть хорошие и плохие новости: майнер куда-то пропал, узнать откуда оно и где точно было - наверное, не получится. Спасибо большое за помощь, я напишу если проблема будет актуальна снова.
Вложения
Хорошо, тему не закрываю.
Junior Member
Вес репутации
9
Едва не забыл: напишите, пожалуйста, в ЛС, или куда удобно, кошелек для доната.
В сообщении Info_bot в теме ссылка на страницу, там, правда многое устарело, но номер кошелька должен быть верный, только уже не Я.Деньги, а Юмани.
Junior Member
Вес репутации
9
Получилось через юмани. Прямые ссылки не работают.
Удалите пожалуйста из шапки прямые ссылки на логи(я не могу редактировать сообщение). У вас приложения, я так понял, защищены от анонимного доступа.
Последний раз редактировалось bawdamua; 16.01.2022 в 19:23 .
bawdamua , Готово. Вложения не могут смотреть пользователи без логина. Вы можете почистить вложения самостоятельно, если необходимо (https://virusinfo.info/showthread.php?t=130567 ).