Решена Как узнать, поселился ли майнер на компьютере?

[BuGi_Zz]

Здравствуйте. Предположительно поселился майнер. Когда и как, пока не установил. Проблему заметил вчера после вылета игры, такого раньше не было. В диспетчере нашел процесс "COM Surrogate" который вел в папку Realtek, после чего проводник и ДЗ сразу закрылись. Также вылетают сайты, видео на ютуб с подобной темой и т.д. Тут симптомы как у других, как я почитал.
AutoLogger при запуске сразу закрывается. Название папки и файла заранее поменял, расположение тоже не на раб. столе (хотя в ветке к файлу desktop есть). Смог получить логи через безопасный режим, это норм, прикреплять?
Спасибо.

 

[BuGi_Zz]

В безопасном режиме.

 

[Sandor]

Здравствуйте!

После работы AVbr соберите новый архив CollectionLog Автологером.

 

[BuGi_Zz]

Сделано.

 

[Sandor]

WinZip 26.0 деинсталлируйте.

Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[BuGi_Zz]

Сделано.

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {0941D272-4D2A-487E-946C-81690D51AD87} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {2B5D56BB-4D16-42FA-98F8-6912DC7D5294} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {38CAB00F-7CC3-488B-A214-5C84DF285113} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Нет файла <==== ВНИМАНИЕ
  Task: {4F5DECAB-3F86-4183-A686-5761851CED2A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {73382364-2AC9-48EA-AD20-D02377B6E439} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {7ECB3D1B-40DC-41B0-ACC2-5A98310CE765} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
  Task: {B1763353-1752-4F1A-9EA4-E30A96850FDC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Нет файла <==== ВНИМАНИЕ
  Task: {B1A5DDDD-FFC7-4FFE-8103-FBC8BDB3CAEC} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Нет файла <==== ВНИМАНИЕ
  Task: {B59D1BA6-3247-479C-86E6-8B4287755C73} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Нет файла <==== ВНИМАНИЕ
  Task: {C4FAAD7C-4F87-4DF1-AAF1-8D9D14D19804} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Нет файла <==== ВНИМАНИЕ
  Task: {C78E345D-7A81-4839-805E-3DA445E96ED4} - \Microsoft\Windows\Setup\gwx\rundetector -> Нет файла <==== ВНИМАНИЕ
  Task: {CCABE646-2DCC-4D0D-A574-67E62C4257E5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Нет файла <==== ВНИМАНИЕ
  Task: {DE596DE7-C939-47FC-B002-420CD17773C3} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Нет файла <==== ВНИМАНИЕ
  Task: {E3444AB7-07F2-44A6-ABDA-623EF1FD71B4} - \WPD\SqmUpload_S-1-5-21-4092505448-1248729858-1417315870-1002 -> Нет файла <==== ВНИМАНИЕ
  Task: {F3CC399E-D0FA-498E-9C45-1E3160FDAE71} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {F60967A9-B7CB-4550-A577-D076D4250D38} - \Обновление Браузера Яндекс  -> Нет файла <==== ВНИМАНИЕ
  Task: {F9E31D70-60D5-4E47-87F4-74CBE3ED1765} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Нет файла <==== ВНИМАНИЕ
  Task: {FBA5E3FF-6CCB-429E-975B-9FA4092369B8} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Нет файла <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  S3 cpuz150; \??\C:\WINDOWS\temp\cpuz150\cpuz150_x64.sys [X] <==== ВНИМАНИЕ
  2024-02-04 15:02 - 2024-02-04 15:02 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
  2024-02-04 15:02 - 2024-02-04 15:02 - 000000000 ____D C:\Program Files\7-Zip
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  HKLM\...\StartupApproved\StartupFolder: => "WinZip Preloader.lnk"
  HKLM\...\StartupApproved\Run: => "WinZip UN"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[BuGi_Zz]

Сделано.

 

[Sandor]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\Users\usser\AppData\Local\Pbrowserupd"
  Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\Steam"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users\usser\AppData\Local\Browserupdphenix"
  Remove-MpPreference -ExclusionPath "C:\Users\usser\AppData\Local\ProtectBrowser"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[BuGi_Zz]

Готово.

 

[Sandor]

Хорошо. Проблема решена?

 

[BuGi_Zz]

Да, проблема ушла. К тому же, пк стала чуть шустрее чем до заражения. Видимо много хлама накопилось. Не стоит ли еще просканировать пк чем-то вроде malware от другого мусора?
Есть ли у вас данные, с чем чаще майнер проникает в систему на сегодняшний день, на что обращать особое внимание, чтобы снова не словить?

 

[Sandor]

Можете самостоятельно просканировать KVRT или CureIt.

Попадает в систему обычно при установке некоего репака или (чаще) активатора, скачанного с торрента.

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[BuGi_Zz]

Спасибо большое за помощь!

 

[Sandor]

Исправьте по возможности:

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.30.30704 v.14.30.30704.0 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2005 Compact Edition [ENU] v.3.1.0000 Данная программа больше не поддерживается разработчиком.
Total Commander 7.56 v.7.56a PowerPack 2010.13 Mod Внимание! Скачать обновления
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2110.12 Внимание! Скачать обновления
Telegram Desktop v.4.14.4 Внимание! Скачать обновления
µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-i586.exe - Windows Offline)^
Java 8 Update 331 v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-i586.exe - Windows Offline)^
iTunes v.12.12.2.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Adobe Reader X (10.1.16) MUI v.10.1.16 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Yandex v.24.1.0.2570 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Windows Live Essentials v.16.4.3528.0331 Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.20 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 9 v.9.4.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


Читайте Рекомендации после удаления вредоносного ПО