Решена Поймал майнер, помогите решить

[everywhereyougo]

Здравствуйте. Поймал какой-то хитрый майнер, успел увидеть процесс в диспетчере WMI Provider Host, наткнулся на данный форум и скачал программу Farbar Recovery Scan Tool, майнер закрывал программу так что провел сканирование в безопасном режиме , но с составлением fixlist не справился, прошу помощи. Результаты сканирования прикрепляю:

 

[everywhereyougo]

Прочитал в правилах оформления, что нужно скачать собиратель логов и закинуть сюда результаты, но майнер закрывает браузер при попытке скачать.

 

[Sandor]

Здравствуйте!

Скачайте AV block remover. Скачивайте на другом устройстве (на телефоне) и перенесите на проблемный ПК.
Распакуйте (в любую папку КРОМЕ папки Рабочий стол или папки Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела.

 

[everywhereyougo]

Добрый день, все выполнил. Прикрепляю результат:

 

[Sandor]

Включите защиту от подделки

Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...

safezone.cc

Была отключена майнером.

Дополнительно:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe', '');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[everywhereyougo]

Защита от подделки отключена не майнером, а кастомной виндой. Свежие логи:

 

[Sandor]

Понятно.

Файлы report из папки Автологера прикрепите к следующему сообщению, пожалуйста.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[everywhereyougo]

при сканировании:другие области farbar recovery scan tool зависает намертво, прикреплю файлы, которые он успел выдать

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {DD799D2C-BD99-40F0-BB36-09CD2614AA55} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [5925152 2023-10-02] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4157084790-1321097883-1285276116-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-80-2652535364-2169709536-2857650723-2622804123-1107741775\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxp://yacdn.ru"
  CHR DefaultSearchURL: Default -> hxxp://tupoisk.ru/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> mail.ru
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  C:\Program Files\Google\Chrome\updater.exe
  2023-10-01 16:13 - 2023-10-01 16:13 - 000000000 __SHD C:\ProgramData\princeton-produce
  AlternateDataStreams: C:\Users\User\Application Data:ec26fcc64579419b6922f3893f7e4905 [394]
  AlternateDataStreams: C:\Users\User\AppData\Roaming:ec26fcc64579419b6922f3893f7e4905 [394]
  FirewallRules: [{BC976380-1DFD-4C2A-9637-075B628468BA}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]
  FirewallRules: [{3C56BDF9-328C-48E2-869D-CD14761E7814}] => (Block) LPort=445
  FirewallRules: [{CDE26344-82F3-46A2-8D52-F69966AE222C}] => (Block) LPort=445
  FirewallRules: [{F2B2CE12-3AAE-456E-819D-E3A9367F4E0A}] => (Block) LPort=139
  FirewallRules: [{73C5C194-C31D-44FE-AFA2-424AB8B7E467}] => (Block) LPort=139
  FirewallRules: [{2F565209-CFE7-4F30-99E9-5B553DCFABDA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  FirewallRules: [{A0F74673-1D98-42B6-A6CF-9ABA82320A44}] => (Allow) LPort=3389
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[everywhereyougo]

.

 

[Sandor]

Хорошо, что сейчас с проблемой?

 

[everywhereyougo]

Стоит программа memreduct показывающая нагруженность оперативной памяти. При открытии диспетчера устройств и там и там нагрузка на оперативку падает примерно на 25%, при закрытии через некоторое время в мем редакте вижу постепенное возрастание на те же 25%. И система грузится странно после появления майнера и до сих пор. Комп вроде бы загрузился и я могу открывать программы, но программы из автозапуска загружаются примерно через минут 5.

 

[everywhereyougo]

Стоит программа memreduct показывающая нагруженность оперативной памяти. При открытии диспетчера устройств и там и там нагрузка на оперативку падает примерно на 25%, при закрытии через некоторое время в мем редакте вижу постепенное возрастание на те же 25%. И система грузится странно после появления майнера и до сих пор. Комп вроде бы загрузился и я могу открывать программы, но программы из автозапуска загружаются примерно через минут 5.

Диспетчера задач*

 

[Sandor]

Соберите новые логи FRST.txt и Addition.txt

 

[Dragokas]

++ Дополнительно, зайдите в папку AutoLogger и запустите оттуда программу HiJackThis, нажмите кнопку "Do a system scan and save a logfile" и прикрепите сделанный лог

 

[everywhereyougo]

Извините за задержку, логи:

 

[Dragokas]

Простите, не уточнил, нужно собрать логи именно версией, которая находится в папке \AutoLogger\HiJackThis\

 

[everywhereyougo]

Из папки не открывается, процесс висит, но ничего не происходит. Попробовал заново скачать автологер, не помогло.

 

[Dragokas]

Из папки не открывается, процесс висит, но ничего не происходит. Попробовал заново скачать автологер, не помогло.

Спасибо. Как раз это и хотелось услышать. Перекачивать Автологгер смысла нет.

Сделайте, пожалуйста, ещё лог, скачав такую версию: {ссылка удалена}

Если она тоже зависнет, тогда запустите {ссылка удалена} (она тоже зависнет - завершите ее процесс через диспетчер задач, и приложите отчёт HiJackThis_debug.log - он появится в любом случае).

Скажите, какая версия в итоге заработала.

 

[everywhereyougo]

Сделал все, как написали, но дебаг почему-то пустой. Возможно так и надо.