Решена Вроде майнер на процессоре

Lozar

Lozar

Новый пользователь
Сообщения
7
Реакции
0
Уже несколько недель комп гудит, решил открыть диспетчер задач - комп утихает, никакого процессора подозрительного нет, после закрытия диспетчера задач появляется снова спустя время. Если держать диспетчер задач открытым (даже если свернуть), то все будет нормально. Решил проверить через resmon (монитор ресурсов) и увидел как powershell грузит ЦП на 50%, скрин и логи прикрепляю.
 

Вложения

  • resmon.png
    resmon.png
    48.9 KB · Просмотры: 11
  • CollectionLog-2024.02.28-14.58.zip
    150.6 KB · Просмотры: 1
Здравствуйте!

Да, это майнер, будем лечить.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код: 
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\Multimedia');
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

2. Файл Check_Browser_Lnk.log
из папки
...\AutoLogger\CheckBrowserLnk
Нажмите для раскрытия...
перетащите на утилиту ClearLNK.

move.gif


Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

3. "Пофиксите" в HijackThis только следующие строки:
Код: 
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = brightdata.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O17 - HKLM\System\CCS\Services\Tcpip\..\{b0ed9670-1fcc-4894-ab33-d28c68b28eeb}: [NameServer] = 127.0.0.1
Перезагрузите компьютер вручную.

4. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Все сделал, файлы ниже. Но, после фикса через Hijack и перезагрузки, файл в папке Стима (version.dll) стал считаться как троян виндой, два скрина ниже
 

Вложения

  • Addition.txt
    96.7 KB · Просмотры: 2
  • steamtrojan.png
    steamtrojan.png
    125.5 KB · Просмотры: 10
  • steamerror.png
    steamerror.png
    16.4 KB · Просмотры: 10
  • FRST.txt
    61.1 KB · Просмотры: 1
  • ClearLNK-2024.02.28_15.49.01.log
    44.1 KB · Просмотры: 1
Винда нашла еще 2 вируса
 

Вложения

  • anotherone.png
    anotherone.png
    48.5 KB · Просмотры: 11
Lozar написал(а):
файл в папке Стима (version.dll) стал считаться как троян виндой
Нажмите для раскрытия...
Загрузите этот файл на www.virustotal.com и дайте ссылку на результат анализа.

Кое-что ещё почистим.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-680205073-3248104684-534307852-1001\...\MountPoints2: {d0601bb5-7e82-11ed-836d-806e6f6e6963} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {3B7CEABA-5C0A-491D-86EF-555ED7BC8C59} - System32\Tasks\Doctor Web\Dr.Web Daily scan => C:\Program Files\DrWeb\dwscanner.exe  /full (No File)
R2 Bonjour Service; C:\Program Files\Wormhole\Bonjour\mDNSResponder.exe [462096 2015-08-12] (Apple Inc. -> Apple Inc.)
Folder: C:\ProgramData\win-net
ShellExecuteHooks-x32: No Name - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> No File
AlternateDataStreams: C:\Users\Andrey\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [130]
HKU\S-1-5-21-680205073-3248104684-534307852-1001\Software\Classes\regfile:  <==== ATTENTION
HKU\S-1-5-21-680205073-3248104684-534307852-1001\Software\Classes\.reg:  =>  <==== ATTENTION
HKU\S-1-5-21-680205073-3248104684-534307852-1001\Software\Classes\.bat:  =>  <==== ATTENTION
HKU\S-1-5-21-680205073-3248104684-534307852-1001\Software\Classes\.cmd:  =>  <==== ATTENTION
FirewallRules: [{0E790DE3-3039-4D42-9D0B-300AE0DB054E}] => (Allow) LPort=3306
FirewallRules: [{8B6E5496-FA4F-4302-B198-DA549CCDB948}] => (Allow) LPort=33060
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
На стим скорее всего жалуется из-за Koalageddon (прога для взлома DLC для игр и прочего в стиме), т.к. VirusTotal обнаружил Koaloader.exe

VirusTotal

VirusTotal
www.virustotal.com www.virustotal.com

И у меня вопрос, вместе с куки и кэшем не очистятся пароли и логины в браузере?
 
Файл
 

Вложения

  • Fixlog.txt
    6.1 KB · Просмотры: 1
Хорошо. Проблема решена?
 
Вроде как да, спасибо
 
Завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
/
 

Вложения

  • SecurityCheck.txt
    11.3 KB · Просмотры: 2
Исправьте по возможности:

The elevation prompt for administrators disabled
The elevation prompt for users disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^

Так ли страшен Контроль учётных записей

Windows Defender Firewall (mpssvc) - The service is running
Disabled the domain profile of Windows Firewall
Disabled the standard profile for Windows Firewall
Adguard v7.11.3.4107 v.7.11.3.4107 Warning! Download Update
AdGuard v.7.13.4278.0 Warning! Download Update
Git v.2.41.0.3 Warning! Download Update
Node.js v.18.17.1 Warning! Download Update
Oracle VM VirtualBox 7.0.10 v.7.0.10 Warning! Download Update
Python 3.9.7 (64-bit) v.3.9.7150.0 Warning! Download Update
Python 3.8.9 (64-bit) v.3.8.9150.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Warning! Download Update
7-Zip 22.01 (x64) v.22.01 Warning! Download Update
Uninstall old version and install new one.
WinRAR 6.11 (64-bit) v.6.11.0 Warning! Download Update
Discord v.1.0.9031 Warning! Download Update
Google Chrome v.122.0.6261.69 Warning! Download Update


Читайте Рекомендации после удаления вредоносного ПО
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу