Скрытый вирус майнер [04.03.2024]

**Aleksandr128** · 04.03.2024, 13:05

Добрый день!
Кажется, поймал скрытый вирус майнер:

1) куда-то постоянно исчезает память на диске C. Только очищу пространство - через некоторое время заполняется снова. Без установок и скачивания новых файлов.
2) не дает доступ к сайтам с антивирусными программами (Access to this website is forbidden.) malwarebytes, bitdefender. В файле host при этом ничего нет.
3) самостоятельно удаляется cc cleaner
4) в temp папке есть microsoft office, который я не устанавливал и который не вычищается (после удаления создается заново)
5) попробовал решить проблему самостоятельно. Установил hitman pro. Теперь вход в систему происходит довольно долго. Кажется, сделал только хуже...

Буду благодарен любой помощи! Заранее спасибо!
Прикрепляю архив из AutoLogger

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 04.03.2024, 13:06

Уважаемый(ая) Aleksandr128, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 04.03.2024, 15:26

Сообщение от Aleksandr128

Кажется, поймал скрытый вирус майнер:

1) куда-то постоянно исчезает память на диске C. Только очищу пространство - через некоторое время заполняется снова. Без установок и скачивания новых файлов.

Майнеры не используют много места на диске, да и нет майнера у вас в системе. 120 Гб под систему и программы на Windows 11 - маловато, лучше раза в два больше отводить.
В настройках Система - Память - Контроль Памяти автоматическая очистка включена?

Сообщение от Aleksandr128

2) не дает доступ к сайтам с антивирусными программами (Access to this website is forbidden.) malwarebytes, bitdefender. В файле host при этом ничего нет.

Блокировка на самих сайтах, санкции.

Сообщение от Aleksandr128

3) самостоятельно удаляется cc cleaner

Работать точно не будет, видимо самоудаляется из-са тех же санкций.

Сообщение от Aleksandr128

4) в temp папке есть microsoft office, который я не устанавливал и который не вычищается (после удаления создается заново)

Microsoft Office LTSC стандартный 2021 установлен, возможно, временные файлы там.

Сообщение от Aleksandr128

5) попробовал решить проблему самостоятельно. Установил hitman pro. Теперь вход в систему происходит довольно долго. Кажется, сделал только хуже...

Удалите. Не надо искать вирусы, их нет.
Кстати, программы типа Mem Reduct могут только ухудшать быстродействие и отзывчивость системы в некоторых случаях.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\Run: [Adobe Acrobat Synchronizer] = C:\Program Files\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe (file missing)
O4 - HKCU\..\StartupApproved\Run: [Substance Launcher] = B:\Adobe Substance Painter\Substance Launcher\Substance Launcher.exe (file missing) (2022/04/25)
O4 - HKCU\..\StartupApproved\Run: [utweb] = "C:\Users\Alex\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (file missing) (2022/02/18)
O4 - Startup Global: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\MxNotify.lnk    ->    C:\Program Files (x86)\Maxon\Tools\MxNotify.exe (file missing)
O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1842\service_update.exe (file missing)
O22 - Tasks: Red Giant Link - C:\Program Files (x86)\Red Giant Link\Red Giant Link.exe (file missing)

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Aleksandr128** · 04.03.2024, 16:07

Вадим, спасибо за подробный ответ!

Контроль памяти включен. Видимо, скачки +- 30 ГБ в разные стороны -- это нормально.

Еще раз благодарю вам за расшифровку всех тезисов)
Прикрепляю файлы из Rarbar

**Vvvyg** · 04.03.2024, 17:30

А что ж не вложением, как CollectionLog?

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-20669172-2728273450-2528608399-1001\...\Run: [CCleaner Smart Cleaning] => "B:\CCleaner\CCleaner64.exe" /MONITOR (Нет файла)
Task: {EAFDC8D8-700F-4DB5-BBD4-465277C9E09E} - System32\Tasks\Восстановление сервиса обновлений Яндекс Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.3.809\service_update.exe  --repair (Нет файла)
Task: {2E7584E7-278A-49F4-A46E-0F1E6DC8C520} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1842\service_update.exe  --repair (Нет файла)
Task: {284EC791-BB03-4E01-919A-67861ECE5D0E} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.3.809\service_update.exe  --run-as-launcher (Нет файла)
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
ipconfig /flushdns
Dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

Сообщите, что со свободным местом на диске C:.

**Aleksandr128** · 04.03.2024, 18:37

Не нашел полный режим ответа с возможностью прицеплять файлы.
Прошу прощения

Прикрепляю результаты исправления

**Vvvyg** · 04.03.2024, 20:55

Всё на этом. Мусор почистили, повреждённые системные файлы восстановили.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Скрытый вирус майнер [04.03.2024] (заявка № 228511)

Опции темы