Добрый вечер,
Помогите пожалуйста, похоже на майнер в Стиме.
Спасибо.
Добрый вечер,
Помогите пожалуйста, похоже на майнер в Стиме.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) XUTPUU, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\ProgramData\Network\DataTM.cmd', ''); QuarantineFile('C:\ProgramData\Network\Steam.exe', ''); QuarantineFileF('c:\programdata\network', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0); DeleteFile('C:\ProgramData\Network\DataTM.cmd', '64'); DeleteFile('C:\ProgramData\Network\Steam.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGetPro', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MediaGetPro', 'x64'); DeleteSchedulerTask('MediaGetProUpdaterV5_t1725120844817'); DeleteSchedulerTask('MediaGetProUpdaterV6_t1725120846918'); DeleteSchedulerTask('Microsoft\Windows\Location\ActiveSync'); DeleteSchedulerTask('Microsoft\Windows\Location\ActiveSyncRun'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; RebootWindows(true); end.
В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.
Деинсталлируйте WebAdvisor от McAfee.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Спасибо за помощь, логи FRST приложены
Что за программа, знаете?Выделите и скопируйте в буфер обмена следующий код:植物大战僵尸杂交版 (HKLM-x32\...\pvzHE) (Version: 2.3.7.0 - 潜艇伟伟迷)Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR с максимальным сжатием и прикрепите к своему следующему сообщению.Код:Start:: CloseProcesses: Systemrestore: On CreateRestorePoint: Task: {A598DC4D-7CA0-4D68-BB39-0473354C4E4D} - System32\Tasks\ICTorrent2UpdaterV1_t1725120849000 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ Task: {3B7DA3B3-A1DC-4FC1-B48C-4E6E0F007B74} - System32\Tasks\ICTorrent2UpdaterV2_t1725120851179 => C:\Program Files\SteamUpdate\SteamUpdate.exe [146320896 2024-08-21] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ Task: {BFE46FF3-690D-4515-87B6-A70BF116450D} - System32\Tasks\Microsoft\Windows\Location\ActiveSyncUpdate => C:\ProgramData\Steam\SteamUpdate.exe (Нет файла) Task: {933A2F34-D984-41B8-8F11-C4BF7A7C1565} - System32\Tasks\Microsoft\Windows\Location\ActiveSyncBackup => C:\ProgramData\Adobe\ARM\Reader_19.010.20098\ReaderDCRestore.exe [1082730 2023-02-11] () [Файл не подписан] Virusscan: C:\ProgramData\LightEvents\FormagRing\dhsmHManBASE.dll Virusscan: C:\ProgramData\AAEHJEGIID.exe Virusscan: C:\ProgramData\KEHCAFHIJE.exe 2024-09-11 15:59 - 2024-09-11 15:59 - 000328744 _____ (walkouts dashboard) C:\ProgramData\AAEHJEGIID.exe 2024-09-11 15:59 - 2024-09-11 15:59 - 000289832 _____ (walkouts dashboard) C:\ProgramData\KEHCAFHIJE.exe 2024-08-26 13:05 - 2024-09-20 10:28 - 000000264 _____ () C:\Users\GermanS\MediaGetPro.dat C:\ProgramData\Adobe\ARM\Reader_19.010.20098 C:\Program Files\SteamUpdate Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms} Edge DefaultSearchKeyword: Default -> x-finder.pro Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms} C:\Users\GermanS\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] 2025-01-27 17:48 - 2025-01-27 17:48 - 000000000 ____D C:\Windows\Tasks\360Disabled Folder: C:\Users\GermanS\AppData\Roaming\ExHack Folder: C:\ProgramData\Steam ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1697.6 - AVAST Software) Hidden HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\regfile: <==== ВНИМАНИЕ HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.reg: => <==== ВНИМАНИЕ HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.bat: => <==== ВНИМАНИЕ HKU\S-1-5-21-3700809513-586940593-3590002704-1002\Software\Classes\.cmd: => <==== ВНИМАНИЕ HKU\S-1-5-21-3700809513-586940593-3590002704-1002\...\StartupApproved\Run: => "MediaGet2" HKU\S-1-5-21-3700809513-586940593-3590002704-1002\...\StartupApproved\Run: => "MediaGetPro" FirewallRules: [{074A6ED0-1D43-480C-A17C-11CBEE83F17D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла FirewallRules: [{909ADAC6-4EA5-462F-81EE-73B7F6453062}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла FirewallRules: [{08B95CE8-C91A-4E16-812E-3CD51F91D381}] => (Allow) C:\Users\GermanS\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{3E183B53-DB44-41CD-9FA1-AAD68DAC0785}] => (Allow) C:\Users\GermanS\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{37B0B8C6-DE9D-42BF-B0D7-0F87DC7969E7}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{D18A6E3A-2E93-4E63-B846-DB40EE65C3F7}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [TCP Query User{3AEB1C12-F928-43D4-8F69-4225570FE918}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла FirewallRules: [UDP Query User{23CAA8FF-823C-4EC6-BB87-6A4D90BE6FD1}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Нет файла FirewallRules: [{8E8B71FB-DCEF-42E8-9B4A-7F58904A7B4D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [{F27261D9-51AE-4553-91DC-EA83B194323F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Euro Truck Simulator 2\bin\win_x64\eurotrucks2.exe => Нет файла FirewallRules: [TCP Query User{C3E4E7F5-0E82-40BA-9EDE-F2FF31B8AB1F}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [UDP Query User{9CAE532C-4200-43C9-990D-7F7BE71BD92F}C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [{96E78A69-6D21-41BE-B25D-96465A278574}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла FirewallRules: [{1F311A59-F685-47E8-B798-BE0C569C17F2}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла FirewallRules: [TCP Query User{97A9413E-602C-4FF0-8DEE-246E9391F245}C:\program files (x86)\mindustry\mindustry.exe] => (Block) C:\program files (x86)\mindustry\mindustry.exe => Нет файла FirewallRules: [UDP Query User{EC55D301-858C-4D51-874F-7AA9E3C9A593}C:\program files (x86)\mindustry\mindustry.exe] => (Block) C:\program files (x86)\mindustry\mindustry.exe => Нет файла FirewallRules: [{BF76EB85-D291-4A7E-97A9-C819C11E499A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Нет файла FirewallRules: [{DC9563F6-02F8-4128-BCEA-34EF8C57FE2F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Нет файла FirewallRules: [{85A3944B-80CD-4F80-A43E-7A4DD5D7881E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Нет файла FirewallRules: [{F73F7BC3-1543-4B1F-B9E6-87F2954B78A3}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Нет файла FirewallRules: [{D2329574-A450-47A6-83EB-5719F83BFB93}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Нет файла FirewallRules: [{DA0D2A5B-9810-439E-AF30-61A52BA06FDE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Нет файла FirewallRules: [TCP Query User{EBC3C174-6CDF-4E58-99A7-1381DA5AB487}C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe] => (Allow) C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe => Нет файла FirewallRules: [UDP Query User{35862AE9-A883-4AA7-BCD7-AEDD59B7340E}C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe] => (Allow) C:\users\germans\appdata\local\discord\app-1.0.9168\discord.exe => Нет файла FirewallRules: [TCP Query User{7FE96200-91B7-4F43-B94C-E4F3157396B8}C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe] => (Allow) C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe => Нет файла FirewallRules: [UDP Query User{CFAF4C6E-7598-4C9E-AA5A-3E7353FDF34E}C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe] => (Allow) C:\users\germans\appdata\local\wemod\app-9.10.7\wemod.exe => Нет файла FirewallRules: [TCP Query User{6706C730-DA8C-413B-A73D-5FE68BCF503C}C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{9B784D47-E4E4-49CC-B354-A2E35B663209}C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe] => (Allow) C:\brick rigs\brickrigs\binaries\win64\brickrigs-win64-shipping.exe => Нет файла FirewallRules: [{E792906B-FE4F-4DBC-A4C7-6C010BA4581B}] => (Allow) C:\Users\GermanS\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{E4EE9D34-A0A0-4426-8E34-D70879B38239}] => (Allow) C:\Users\GermanS\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{6C436156-96B0-4939-88D0-5D76E047B74E}] => (Allow) C:\Windows\System32\mppr.exe => Нет файла irewallRules: [{1AFE18F9-F74D-4862-A57B-A1DD8487C76B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла FirewallRules: [{54A67D40-9B4A-466A-8908-AFD47CF5EE5F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Нет файла StartBatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul del /s /q C:\Windows\Temp\*.* >nul del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul del /s /q C:\Windows\Minidump\*.dmp >nul sfc /scannow endbatch: Reboot: End::
Компьютер будет перезагружен.
Деинсталлируйте программы Avast Update Helper и MediaGet, если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
