Решена Подцепил вирус "Майнер", после распаковки активатора Офиса из торрента

[Zmeucheg]

Здравствуйте. Нужна помощь в устранение вируса "Майнера".
Подцепил его после распаковки активатора для Офиса. Он заблокировал возможность поиска информации о вирусах и выключал браузер при таких попытках, так же перенаправлял днс.

Мне удалось установить dr.web и удалить порядка 21 вредоносных файлов ( система только установленная недавно).
Перегрузка ГП и ЦП прекратилась, но теперь при перезагрузке, каждый раз создаются новые 2 трояна, который антивирус обнаруживает.( скриншоты прикрепил).

Так же прикрепил скриншот той дряни, которую разрешил в защитнике виндоус, которая и является причиной этих бед.

Я попробовал распаковать Autologer но система выдаёт ошибку (скрин прикрепил). Как мне сделать Логи для вас другим путём ?

VirTool:Win32/DefenderTamperingRestore

Пораженный элемент
regkeyvalue: hklm\software\policies\microsoft\windows defender\real-time protection\\DisableBehaviorMonitoring

 

[Zmeucheg]

Удалось распаковать. Вот Лог прикрепил

 

[thyrex]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или лю-бое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Zmeucheg]

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или лю-бое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[akok]

Не нужно цитировать лишнего, в теме легко и так разобраться. Спасибо.

 

[Zmeucheg]

Не нужно цитировать лишнего, в теме легко и так разобраться. Спасибо.

Извиняюсь. Через оперу просто невозможно отправить сообщение , нет даже поля для ввода текста , а при добавлении файлов, не отображается кнопка для отправки.
Пришлось через Chrome отвечать вам сейчас.

Хочу добавить, что после AV block remover, система перезагрузилась, и более не появилось оповещения о нахождении вирусов 2ух.

Можете пояснить, как удалось устранить это через файл hosts ?

 

[thyrex]

У Вас установлен DrWeb, зачем тогда еще Malwarebytes version 5.1.7.121? Оставьте что-то одно.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\100.0.1185.36\elevation_service.exe" [X]
2024-08-08 13:31 - 2024-08-08 13:31 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2024-08-08 13:31 - 2024-08-08 13:31 - 000000000 __SHD C:\Users\temaz\OneDrive\Desktop\AV_block_remover
2024-08-08 13:31 - 2024-08-08 13:31 - 000000000 __SHD C:\Users\temaz\OneDrive\Desktop\AutoLogger
2024-08-08 13:31 - 2024-08-08 13:31 - 000000000 __SHD C:\Program Files\ReasonLabs
2024-08-08 13:31 - 2024-08-08 13:31 - 000000000 __SHD C:\Program Files (x86)\Wise
2024-08-08 13:30 - 2024-08-08 22:24 - 000000000 ____D C:\ProgramData\ReaItekHD
CustomCLSID: HKU\S-1-5-21-733148661-1425862878-4146509756-1001_Classes\CLSID\{1F80F4F0-5D28-40D3-A252-4D3662D5E4BA}\localserver32 -> "C:\Users\temaz\AppData\Local\Microsoft\OneDrive\24.141.0714.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-733148661-1425862878-4146509756-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\temaz\AppData\Local\Microsoft\OneDrive\24.141.0714.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-733148661-1425862878-4146509756-1001_Classes\CLSID\{544c4c52-de0b-4d14-9510-21745381d5ca}\localserver32 -> "C:\Users\temaz\AppData\Local\Microsoft\OneDrive\24.141.0714.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-733148661-1425862878-4146509756-1001_Classes\CLSID\{7AE67172-9863-42B1-8750-2B85084FD8E8}\localserver32 -> "C:\Users\temaz\AppData\Local\Microsoft\OneDrive\24.141.0714.0003\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-733148661-1425862878-4146509756-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\temaz\AppData\Local\Microsoft\OneDrive\24.141.0714.0003\FileCoAuth.exe" => Нет файла
FirewallRules: [{FB8386C8-6FE0-4281-80EE-4932A015A24A}] => (Allow) C:\Program Files\Google\Play Games\current\emulator\crosvm.exe => Нет файла
FirewallRules: [{08B6BB3C-DA6C-4654-9D85-26A07BAC79DB}] => (Allow) C:\Program Files\Google\Play Games\current\emulator\crosvm.exe => Нет файла
FirewallRules: [{C41C3065-D01D-4A0E-9054-123D0B9A1ED3}] => (Allow) C:\Windows\System32\DriverStore\FileRepository\predatorservice.inf_amd64_5c92d2b1cb6e4eb5\OpenRGB.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Zmeucheg]

Здравствуйте, я хотел просто попробовать, возможно его базы более новее и найдут, что-то ещё. И так и получилось, на скринах можете увидеть, что он пометил Utrorrent файлы, а так же нашёл 2 Трояна, которые Dr.Web не видит.

Я не очень понял первый шаг. Я скопировал, а далее никуда не вставляя данный текст, нажал на исправить, как вы указали.
Но когда нажимаешь на кнопку Fix (Исправить), выдаёт ошибку (скрин прикрепил).

 

[Sandor]

Вероятно вы не полностью скопировали скрипт. Это удобно делать нажатием кнопки Copy в правом верхнем углу:

 

[Zmeucheg]

Farbar Recovery Scan Tool - Лог, после вами описанных шагов.

 

[thyrex]

Что сейчас с проблемой?

 

[Zmeucheg]

Перезагрузил. Вроде бы не выявлено ничего.

Использование ЦП и GPU в норме.

Благодарю за помощь.

Можете объяснить в кратце, что эта дрянь делает, что невозможно её выявить, и постоянно после перезагрузке генерируются новые трояны ?

 

[thyrex]

Если кратко: стремится выжить любой ценой, как и любая другая зараза. А для этого все методы хороши. Останется хоть один недобиток, и все по новому кругу.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Zmeucheg]

Log от SecurityCheck by glax24 & Severnyj .

 

[thyrex]

По возможности исправьте:

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Warning! Download Update
Microsoft OneDrive v.23.038.0219.0001 Warning! Download Update
K-Lite Codec Pack 18.4.5 Full v.18.4.5 Warning! Download Update

и на этом закончим

 

[Zmeucheg]

Спасибо большое за помощь.

Установленные утилиты каким образом удалять? Shift+del, или как лучше ?

 

[Sandor]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

 

[Zmeucheg]

По возможности исправьте:

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Warning! Download Update
Microsoft OneDrive v.23.038.0219.0001 Warning! Download Update
K-Lite Codec Pack 18.4.5 Full v.18.4.5 Warning! Download Update

и на этом закончим

Здравствуйте.

К сожалению я возвращаюсь снова к вам.

После вашей помощи, с данным ноутбуком, стали происходит необъяснимые вещи. Если зайти в Игру РДР , то она грузит ЦП до 85 градусов , тоже самое с ГПУ от 85-90 Градусов. Какие бы настройки графики не ставили, это не влияет.

Так же, я попробовал просто зайти в другую игру Frostpunk и начинает происходить тоже самое. Перегрев с первых секунда на карте игры (не в меню).

В спокойном состоянии, так же странно высокие показатели температур, скриншот из Predator Sense прикрепил. Так же странная вещь, что через данную утилиту, не показывает рост использования ЦП, только температуры (они на одном графике). Процент использование всегда в районе 2-5 процентов, чтобы не происходило.

Я попробовал сделал стресс тест через AIDA 64, и почти сразу температура ядер взлетает до 90-100 градусов, и на графике отмечается Тротлинг.

Подскажите, может ли это всё быть причиной или последствиями вируса Майнера , который мы удалили, но он возможно, что-то изменил в настройках ?

Повторюсь ноутбук Новый. куплен 5 августа.

Processor
Intel Core I9 13900HX
Nvidia GeForce RTX 4080 12GB
16GB DDR5 5600MHz
1024 SSD

 

[Sandor]

Создайте параллельно тему в системном разделе форума и укажите там ссылку на эту тему.