Странный вероятно вирус с изменением содержимого сетевой папки

[Stolyar]

Есть комп, на котором есть 2 расшаренные папки, одна из них это стандартная Users, а вторая папка с базой данных, к которой обращаются программы с других компов. Сегодня содержимое этой папки было удалено, и в ней появился один файл являющийся ссылкой на файл со скриптом. Если перейти в расположение этого файла, то там есть кроме скрипта ещё 2 файла DAT, посмотрел что делает скрипт, очень похоже что он будет херить данные в папке Windows, это всё что я мог понять в этом скрипте, не силён в них. Слава богу что в эту папку напрямую никто не обращается и никто не запустил у себя на компе этот файл. Выкладываю скриншоты как это всё выглядит.
Файл 1 - это тот сымай ярлык ссылающийся на скрипт
Файл 2 - это папка в которой лежит этот скрипт и пара файлов DAT

Также прикладываю в запароленном архиве (пароль 123) эти 3 файла которые появляются в той папке.

Также сделал выгрузку Автологером, его тоже прикладываю.
Подскажите что это за зараза, и как от неё избавиться. Очень похоже что пришла она именно с этого компа, и была надежда что по сети с других компов это всё позапускают. Никакие другие сетевые папки не тронуты, никакие другие данные кроме этой папки на этом компе тоже не тронуты.

[Info_bot]

Уважаемый(ая) Stolyar, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Stolyar]

Архив с этими 3 файлами не могу прикрепить к письму, видимо великоват. Если он нужен для диагностики и лечения то скажите как и я его перешлю тоже.
Спасибо!!!

[Vvvyg]

Выложите архив в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\Windows\System32\console_zero.exe', '64');
 DeleteFile('C:\Windows\System32\x887688.dat', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\x887688\Parameters', 'ServiceDll', '64');
 DeleteSchedulerTask('console_zero');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Stolyar]

Вот ссылка на архив: https://dropmefiles.com/AgkRt

Пароль архива 123

И ещё, обратил внимание что размер папки в которой по сути лежит ссылка на этот скрипт равно 170 гигов, это как раз размер тех файлов что в этой папке были, т.е. сами файлы где-то есть, но почему-то я их не могу увидеть. При этом включён показ скрытых файлов.

Сейчас всё что вы велели проделаю и пришлю новые выгрузки.

- - - - -Добавлено - - - - -

Сделал выгрузку через FRST и выкладываю.

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => [X]
S2 x887688; C:\Windows\System32\svchost.exe [57360 2021-08-01] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 x887688; C:\Windows\SysWOW64\svchost.exe [47016 2021-08-01] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
ipconfig /flushdns
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Stolyar]

Всё проделал и выкладываю новые выгрузки.

[Vvvyg]

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

В сетевой папке - троян/майнер. Удалите и последите, не появится ли снова, есть вероятность, что мог с одного из компьютеров в сети попасть.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

[Stolyar]

Неужели до сих пор кому-то интересно майнить на обычных компах? Сейчас даже на крутых видюхах особо майнинг не работает. Ну а кроме того, как я понял из скрипта, они пытаются там удалять содержимое папки Windows, так после этого комп нормально работать же не будет, какой им толко от майнера на не работающем компе? Что-то я логику их не улавливаю. Что это был за вирус то хоть, название? Хотел бы почитать про него. Спасибо!!!!!

- - - - -Добавлено - - - - -

И врядли оно пришло с других компов, ибо в сети есть ещё разные другие сетевые папки, также доступные с других компов, но они абсолютно целые остались, без всяких проблем. Т.е. скорее всего вирус пришёл с этого компа, и портит сетевые папки именно этого компа, при этом не трогает другие сетевые папки видимые в сети. Но я понаблюдаю, спасибо!!!

[Vvvyg]

Почитать вряд ли удастся, их столько, что описания на каждый делать нереально.