Решена Подозрение на майнер

[diAmonD]

День добрый. Скачал по своей глупости на ноутбук zapret-roblox с левого тг канала для обхода блокировки и удалил только на следующий день. После заметил следующие вещи:
1. в тг стали появлятся подписки на группы и боты (xRocket)
2. центр обновлений windows выдает сообщение "что-то пошло не так. попытайтесь открыть параметр позже.".
3. defender по несколько раз за день жалуется на Trojan: PowerShell/DownloadExec.HNAF!MTB(блокирует) и VulnerableDriver:WinNT/Winring0(помещает в карантин).
4. нашел в C:\ProgramData\rpr9d8fkrbv8 файл 1qiuxchx6g1t.exe. если удаляю появляется снова. закинул в virustotal (результат сканирования на скриншотах).

 

[Sandor]

Здравствуйте!

Результат сканирования на VT лучше выкладывать ссылкой, а не скриншотом.

Выполните в безопасном режиме (Важно!)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\altera\13.1\quartus\bin64\jtagserver.exe');
 TerminateProcessByName('c:\users\balyk\appdata\local\mod.io\jhi_service.exe');
 QuarantineFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '');
 QuarantineFile('c:\users\balyk\appdata\local\mod.io\jhi_service.exe', '');
 QuarantineFile('C:\Users\balyk\AppData\Local\NVIDIA Corporation\NVDisplay.Container.exe', '');
 DeleteSchedulerTask('jhi_service');
 DeleteSchedulerTask('NVDisplay.Container');
 DeleteFile('C:\ProgramData\rpr9d8fkrbv8\1qiuxchx6g1t.exe', '64');
 DeleteFile('c:\users\balyk\appdata\local\mod.io\jhi_service.exe', '');
 DeleteFile('C:\Users\balyk\AppData\Local\mod.io\jhi_service.exe', '64');
 DeleteFile('C:\Users\balyk\AppData\Local\NVIDIA Corporation\NVDisplay.Container.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 BC_DeleteSvc('ZCP0HR3Y');
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Для повторной диагностики запустите снова AutoLogger (в нормальном режиме).
Прикрепите к следующему сообщению свежий CollectionLog.

 

[diAmonD]

прикрепляю логи

 

[Sandor]

Хорошо. Дополнительно, пожалуйста:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[diAmonD]

просканировал

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-178117531-1324477741-1756822538-1001] => 127.0.0.1:2080
  RemoveProxy:
  S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-12-02] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
  U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-12-02] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [110592 2025-12-02] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-12-02] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-12-02] (Microsoft Windows -> Корпорация Майкрософт)
  Folder: C:\ProgramData\rpr9d8fkrbv8
  2026-01-28 20:50 - 2026-01-29 13:49 - 000000000 ____D C:\ProgramData\rpr9d8fkrbv8
  File: C:\Users\balyk\AppData\LocalLow\f42442ae32f401cc7816ecf6b328316fe77dffc8f59a868fa224062dc68d1c2c
  2025-09-04 20:33 - 2025-09-04 20:33 - 000000599 _____ () C:\Users\balyk\setup.dat
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files"
  Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users\balyk\AppData\Roaming"
  Remove-MpPreference -ExclusionPath "C:\Users\balyk\AppData\Local"
  Remove-MpPreference -ExclusionPath "C:\Users\balyk"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

Проверьте и сообщите как себя после этих шагов ведёт система.

 

[diAmonD]

Все выполнил. Центр обновлений заработал, антивирус больше не жалуется, папка rpr9d8fkrbv8 пропала. Видимо это победа.

 

[Sandor]

Отлично!

В завершение, пожалуйста:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[diAmonD]

Сделал. Спасибо!

 

[Sandor]

Исправьте по возможности:
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

Oracle VirtualBox 7.2.2 v.7.2.2 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
7-Zip 25.00 (x64) v.25.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^

Читайте Рекомендации после удаления вредоносного ПО

 

[Severnyj]

+++

У вас было заражение стилером - меняйте пароли, скорее всего была утечка.