Решена Майнер Xrig SteamPack.exe

[MishaMishin]

Здравствуйте, поймал майнер Xrig. В папке C:\ProgramData\Logs создается скрипт, который выключает его при открытии диспетчера задач, сам майнер находился по адресу C:\ProgramData\Steam.
В случае удаления этих файлов, после перезагрузки появляются заново. Майнер нагружает процессор где то на 15-20% и приводит к периодическим фризам системы. Проблем с браузерами ни каких нет.
В моей сборке Windows вырезан защитник, поэтому включать его не надо.
Нужно понять что именно загружает этот майнер. Прикладываю логи и сам майнер с скриптом.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Logs\Report.cmd','');
 QuarantineFile('C:\ProgramData\Steam\SteamPack.exe','');
 DeleteFile('C:\ProgramData\Steam\SteamPack.exe','64');
 DeleteFile('C:\ProgramData\Logs\Report.cmd','64');
 DeleteSchedulerTask('Microsoft\Windows\Diagnosis\Monitoring');
 DeleteSchedulerTask('Microsoft\Windows\Setup\Plugin');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\system32\spool\V4Dirs\04A2EC39-38BF-4ADC-9107-E7CDC48BC383 -> DELETE (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1f61fa3c-6b23-4a37-88e6-fe1d6fbefd1f} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1f61fa3c-6b23-4a37-88e6-fe1d6fbefd1f} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7BD864C-0725-4FFA-9287-ADFEC8C8B366} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D734AFF9-3E13-45E3-AAFA-3FF9C320755E} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0D0D563-5972-40FD-8E40-95175CCF5A94} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EA9161C6-60A5-483F-9173-DD6D5873EF92} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerToys (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: \Microsoft\Windows\Diagnosis\Monitoring - C:\ProgramData\Logs\Report.cmd (file missing)
O22 - Tasks: \Microsoft\Windows\Setup\Plugin - C:\ProgramData\Steam\SteamPack.exe (file missing)
O22 - Tasks: \Microsoft\Windows\SyncCenter\Service - C:\ProgramData\Wargaming.net\GameCenter\Update.exe (file missing)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\Windows\system32\MusNotification.exe (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[akok]

вот после выполнения скрипта, нужны новые логи frst

 

[MishaMishin]

Выскакивает ошибка при запуске скрипта

 

[akok]

Да, есть ошибка. Исправил в своем посте выше

 

[MishaMishin]

Все выполнил. Архив quarantine.7z получился пустым.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Virusscan:  C:\Program Files (x86)\SCM\SCM.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
  S3 iscFlash; \??\C:\Users\Dragon\AppData\Local\Temp\7zS378B.tmp\iscflashx64.sys [X] <==== ВНИМАНИЕ
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[MishaMishin]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Virusscan:  C:\Program Files (x86)\SCM\SCM.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
  S3 iscFlash; \??\C:\Users\Dragon\AppData\Local\Temp\7zS378B.tmp\iscflashx64.sys [X] <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве

После предыдущей перезагрузки пока все нормально, майнер не создался. Не буду рисковать с очисткой истории. Понаблюдаю за системой пару дней. Спасибо за помощь!

 

[Sandor]

Предыдущий скрипт был изменён, очистки истории не будет. Так что выполните, пожалуйста.

 

[MishaMishin]

Выполнил

 

[Sandor]

Скрипт выполнен успешно.
Пока наблюдаете за системой, выполните завершающие шаги (тема не закрывается некоторое время):

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[MishaMishin]

Выполнил

 

[Sandor]

Исправьте по возможности:

User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^

Так ли страшен Контроль учётных записей

Notepad++ (64-bit x64) v.8.6.2 Warning! Download Update
Microsoft SQL Server 2012 Transact-SQL ScriptDom v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Express LocalDB v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Data-Tier App Framework v.11.0.2316.0 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Native Client v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Command Line Utilities v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Transact-SQL Compiler Service v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Management Objects (x64) v.11.0.2100.60 Warning! This software is no longer supported.
Python 3.10.6 (64-bit) v.3.10.6150.0 Warning! Download Update
Microsoft SQL Server 2012 T-SQL Language Service v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Management Objects v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft OneDrive v.23.226.1031.0003 Warning! Download Update
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
Discord v.1.0.9004 Warning! Download Update
Opera Stable 106.0.4998.19 v.106.0.4998.19 Warning! Download Update

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.19 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
AVG PC Tuneup 10.0.0.27 v.10.0.0.27 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.

Тему помечаю решённой. Через некоторое время сообщите всё ли в порядке.