Решена Майнер Xrig SteamPack.exe

Статус
В этой теме нельзя размещать новые ответы.
MishaMishin

MishaMishin

Новый пользователь
Сообщения
6
Реакции
0
Здравствуйте, поймал майнер Xrig. В папке C:\ProgramData\Logs создается скрипт, который выключает его при открытии диспетчера задач, сам майнер находился по адресу C:\ProgramData\Steam.
В случае удаления этих файлов, после перезагрузки появляются заново. Майнер нагружает процессор где то на 15-20% и приводит к периодическим фризам системы. Проблем с браузерами ни каких нет.
В моей сборке Windows вырезан защитник, поэтому включать его не надо.
Нужно понять что именно загружает этот майнер. Прикладываю логи и сам майнер с скриптом.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Logs\Report.cmd','');
 QuarantineFile('C:\ProgramData\Steam\SteamPack.exe','');
 DeleteFile('C:\ProgramData\Steam\SteamPack.exe','64');
 DeleteFile('C:\ProgramData\Logs\Report.cmd','64');
 DeleteSchedulerTask('Microsoft\Windows\Diagnosis\Monitoring');
 DeleteSchedulerTask('Microsoft\Windows\Setup\Plugin');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = C:\Windows\system32\spool\V4Dirs\04A2EC39-38BF-4ADC-9107-E7CDC48BC383 -> DELETE (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1f61fa3c-6b23-4a37-88e6-fe1d6fbefd1f} -  (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1f61fa3c-6b23-4a37-88e6-fe1d6fbefd1f} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7BD864C-0725-4FFA-9287-ADFEC8C8B366} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D734AFF9-3E13-45E3-AAFA-3FF9C320755E} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0D0D563-5972-40FD-8E40-95175CCF5A94} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EA9161C6-60A5-483F-9173-DD6D5873EF92} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PowerToys (empty)
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:aemarebackup.dll -f:BackupMareData (user missing) (sign: 'Microsoft')
O22 - Tasks: (damaged) \Microsoft\Windows\Application Experience\MareBackup - C:\Windows\system32\compattelrunner.exe -m:appraiser.dll -f:DoScheduledTelemetryRun (user missing) (sign: 'Microsoft')
O22 - Tasks: \Microsoft\Windows\Diagnosis\Monitoring - C:\ProgramData\Logs\Report.cmd (file missing)
O22 - Tasks: \Microsoft\Windows\Setup\Plugin - C:\ProgramData\Steam\SteamPack.exe (file missing)
O22 - Tasks: \Microsoft\Windows\SyncCenter\Service - C:\ProgramData\Wargaming.net\GameCenter\Update.exe (file missing)
O22 - Tasks: \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker - C:\Windows\system32\MusNotification.exe (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Последнее редактирование:
вот после выполнения скрипта, нужны новые логи frst
 
Выскакивает ошибка при запуске скрипта
 

Вложения

  • _2024-04-04_211456965.webp
    _2024-04-04_211456965.webp
    30.4 KB · Просмотры: 27
Да, есть ошибка. Исправил в своем посте выше
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Virusscan:  C:\Program Files (x86)\SCM\SCM.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S3 iscFlash; \??\C:\Users\Dragon\AppData\Local\Temp\7zS378B.tmp\iscflashx64.sys [X] <==== ВНИМАНИЕ
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Последнее редактирование модератором:
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Virusscan:  C:\Program Files (x86)\SCM\SCM.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ
S3 iscFlash; \??\C:\Users\Dragon\AppData\Local\Temp\7zS378B.tmp\iscflashx64.sys [X] <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве
Нажмите для раскрытия...
После предыдущей перезагрузки пока все нормально, майнер не создался. Не буду рисковать с очисткой истории. Понаблюдаю за системой пару дней. Спасибо за помощь!
 
Предыдущий скрипт был изменён, очистки истории не будет. Так что выполните, пожалуйста.
 
Скрипт выполнен успешно.
Пока наблюдаете за системой, выполните завершающие шаги (тема не закрывается некоторое время):

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Исправьте по возможности:

User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^

Так ли страшен Контроль учётных записей

Notepad++ (64-bit x64) v.8.6.2 Warning! Download Update
Microsoft SQL Server 2012 Transact-SQL ScriptDom v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Express LocalDB v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Data-Tier App Framework v.11.0.2316.0 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Native Client v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Command Line Utilities v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Transact-SQL Compiler Service v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Management Objects (x64) v.11.0.2100.60 Warning! This software is no longer supported.
Python 3.10.6 (64-bit) v.3.10.6150.0 Warning! Download Update
Microsoft SQL Server 2012 T-SQL Language Service v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft SQL Server 2012 Management Objects v.11.0.2100.60 Warning! This software is no longer supported.
Microsoft OneDrive v.23.226.1031.0003 Warning! Download Update
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
Discord v.1.0.9004 Warning! Download Update
Opera Stable 106.0.4998.19 v.106.0.4998.19 Warning! Download Update

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.19 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.
AVG PC Tuneup 10.0.0.27 v.10.0.0.27 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware. Possible you became a victim of fraud or social engineering. Computer experts no longer recommend this program.

Тему помечаю решённой. Через некоторое время сообщите всё ли в порядке.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

H
В работе Майнер со службой taskhostw.exe
Ответы
7
Просмотры
104
Sandor
Sandor
U
Решена Вирус/майнер? Творит что хочет..
2
Ответы
24
Просмотры
210
Sandor
Sandor
hapless
Решена майнер блокирует доступ в сеть
Ответы
12
Просмотры
485
hapless
hapless
Назад
Сверху Снизу