Решена Скрытый майнер (?). Trojan. Silence

[kolobok]

Здравствуйте! Стал замечать повышенный шум кулера процессора который прекращался с открытием диспетчера задач и периодические перебои с подключением к Сети. При открытии диспетчера задач нагрузка на процессоре резко падала с 100 % до 10-15% . Почитал что это может быть признаком работы майнера (хотя про диспетчер задач пишут что вроде как нормальное явление для Win 10). Установил Dr Web Security Space запустил проверку нашел два трояна и еще по мелочи)

Для надежности проверил AVZ. Нашел подозрительный DLL отправил его на проверку в лабораторию Dr Web там сказали что все чисто. Запустил сканер открытых портов в AVZ и увидел там Trojan. Silence. Решил проверить с помощью Dr.Web CureIt. При сканирование выпал в BSOD. Перезагрузился запустил снова вроде нормально ничего не нашел. Так вот собственно что это за Trojan. Silence такой? Как его удалить? Что это вообще за штука такая? Майнер или что-то еще?

 

[akok]

Ваше?
O17 - HKLM\System\CCS\Services\Tcpip\..\{0b720685-b0cd-426b-a96c-1b564d83126b}: [NameServer] = 109.236.87.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{0b720685-b0cd-426b-a96c-1b564d83126b}: [NameServer] = 144.217.75.55

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[kolobok]

Готово. Вот логи

 

[akok]

На вопрос не ответили

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3575610189-285076648-1330570097-1001\...\Run: [] => [X]
  HKU\S-1-5-21-3575610189-285076648-1330570097-1001\...\MountPoints2: {d8e64f00-3726-11ec-9d65-0025227029dc} - "E:\.\ShowModem.exe" 
  HKU\S-1-5-21-3575610189-285076648-1330570097-1001\...\MountPoints2: {e2dc1457-731f-11ec-9da0-0025227029dc} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3575610189-285076648-1330570097-1001\...\MountPoints2: {e2dc1494-731f-11ec-9da0-0025227029dc} - "E:\HiSuiteDownLoader.exe" 
  Tcpip\..\Interfaces\{0b720685-b0cd-426b-a96c-1b564d83126b}: [NameServer] 109.236.87.2,144.217.75.55
  Tcpip\..\Interfaces\{97804f17-d083-42aa-882e-84e4308b56ca}: [NameServer] 10.100.0.1
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {78E8D11D-BDE6-4F9C-B75C-274E4B6CAB43} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Roman\Downloads:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\Roman\Downloads\Compressed:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\Roman\Downloads\Documents:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\Roman\Downloads\Programs:Shareaza.GUID [16]
  AlternateDataStreams: C:\Users\Roman\Downloads\Televzr Downloads:Shareaza.GUID [34]
  AlternateDataStreams: C:\Users\Roman\Downloads\Видео:Shareaza.GUID [16]
  
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[kolobok]

Ваше?
O17 - HKLM\System\CCS\Services\Tcpip\..\{0b720685-b0cd-426b-a96c-1b564d83126b}: [NameServer] = 109.236.87.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{0b720685-b0cd-426b-a96c-1b564d83126b}: [NameServer] = 144.217.75.55

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Извиняюсь что не ответил. Даже не знаю мое это или нет. Не шибко разбираюсь в этом. Но если я подключаюсь к Seedboox (Seedbox – Anonymous and High-Speed – RapidSeedbox) то может быть это от них ip?
Whois показывает что ip из нидерландов и франции а у rapidseedbox там сервера как раз. Может в этом дело?

 

[kolobok]

Вот лог

 

[akok]

Может быть, но я эти записи "зашиб" в скрипте. Если будет глючит программа Seedboox, то ее стоит переустановить.

 

[akok]

Ничего подозрительного не вижу.

 

[kolobok]

Ничего подозрительного не вижу.

То есть трояна нет и можно спать спокойно?) Может посоветуете еще какую-нибудь утилиту для поиска? Да я параноик...

​

 

[akok]

Антивирус + правильная гигиена (не скачивать, что не попадя, отказаться от вареза и т.д.).

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

Запустите AdwCleaner. В меню Параметры прокрутите вниз и выберите Удалить.

 

[kolobok]

А где взять adwcleaner?

 

[akok]

Бонжур удаляется и обычными средствами ОС. Если у вас есть устройства apple, то программа нужна.

Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
VeraCrypt 1.25.4 v.1.25.4 Внимание! Скачать обновления
FileZilla Client 3.57.0 v.3.57.0 Внимание! Скачать обновления
OpenOffice 4.1.10 v.4.110.9807 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.03 beta (x64) v.21.03 beta Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 6.10 (64-разрядная) v.6.10.0
---------------------------- [ ProxyAndVPNs ] -----------------------------
ExpressVPN v.10.16.0.8 Внимание! Это приложение может не работать в Российской Федерации в связи с ограничением работы или блокировкой. Используйте другое защитное ПО.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45608 Внимание! Клиент сети P2P с рекламным модулем!.
eMule Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.3.7 v.4.3.7 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 16.7.5 Standard v.16.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 84.0.1 (x64 ru) v.84.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Vivaldi v.5.1.2567.39 Внимание! Скачать обновления

 

[Sandor]

Если у вас есть устройства apple, то программа нужна

Судя по отзывам зарубежных коллег, только при наличии Apple TV и то, даже в этом случае можно без неё обойтись.