[РЕШЕНО] Подозрение на вирусы и майнеры (Powershell 3x, wasping, и тп.)

[Maksimvini]

Начну коротко и сразу: пару дней назад увидел в диспетчере задач Wasping (процесс), перешёл по расположению - удалил, больше не появлялся. Нашёл ещё какой-то майнер (загуглив выяснил что майнер), тоже удалил. После этого пк частенько начал грузить процессор или диск под 100%, процессами "System, Powershell (по три открывается, нагуглив узнал что это для скриптов, если сам не врубал - скорее всего вирус). Искал пару дней пордяд методы проверки вручную, перепробовал много, ничего не нашёл. Пк постоянно грузит. AVZ скан сделал, отчёт прикреплю. Антивирус Kaspersky Security Cloud сканировал, помог удалить Wasping и ещё один майнер до конца (по крайней мере не находил более), сейчас не знаю что может вызвать, прошу помочь.

CollectionLog-2021.10.31-20.16.zip

Ещё дополню, проверял (включая и выключая диспетчер задач, часто при выключении пк начинает нагружаться, а при включении - "успокаивается", что намекает на майнер или другой вирус)

[akoK]

Radmin VPN - сами устанавливали?

[Maksimvini]

Да, часто пользовался даже им.

[akoK]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\rempl\sedlauncher.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Feedback\Feedback');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
 DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinNAT');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Изменено 31 октября, 2021 пользователем akoK

[Maksimvini]

Всё сделал по инструкции, про отправку файл в карантин - перед загрузкой выдало много ошибок, "ошибка, попытка прямого чтения", что-то такое, красным текстом. архив Quarantine.zip пустой.

Только что повторил весь код (по новой запустил), пишет следующее: Ошибка чтения, карантина файла C\program files\rempl\sedlauncher.exe (и ещё что-то в конце)

[akoK]

Понятно. Делайте повторные логи, посмотрим, что осталось. И проверьте, что с проблемой.

[Maksimvini]

Во время создания нового лога, в 9 пункте написано следующее было: 9 мастер поиска и устранения проблем нарушение ассоциации ACR файлов. Так же сделал скриншот диспетчера задач, Powershell и "центр отзывов" продолжают появлятся грузя диск.

CollectionLog-2021.10.31-21.46.zip

[regist]

Click Install if prompted [20201117]-->MsiExec.exe /I{40830C8E-936E-4E08-AE37-240FF3343927}
ExpressVPN [20201117]-->MsiExec.exe /X{36A1885F-4576-438F-8A99-51A4F06E3F90}
ExpressVPN [2021/06/08 23:23:36]-->"C:\ProgramData\Package Cache\{93b3f447-5cfb-4b6f-a006-1e0902af5ff3}\ExpressVPN_6.6.1.4227.exe"  /uninstall
Менеджер браузеров [20200711]-->MsiExec.exe /X{C187DB08-7705-4616-834B-87B3087AE698}
Менеджер браузеров [2021/10/26 07:40:37]-->"C:\Users\vipkr\AppData\Local\Package Cache\{95f0deb2-2099-4305-8cbe-a02c9fdd4dc2}\BrowserManagerInstaller.exe"  /uninstall

Эти программы сами ставили?

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Maksimvini]

Начну по немногу. Для начала прикину отчёт ClearLNK, после начну следующее. (после проделанного, появилось 2 лога, какой из них нужен - не знаю, скину оба, и начну делать шаги с uVS)

Check_Browsers_LNK.log ClearLNK-2021.10.31_22.40.43.log

Пока идёт формирование списка, отвечу на вопрос про программы: "Click Install if prompted" - вообще не понимаю, что это такое, если что-то лишнее то не нужно. Express VPN ставил, ибо проблемы с блокировками РКН начинались, нужно было крутиться. Менеджер браузеров был поставлен когда-то давно, при установке игры (случайно не выключенная галочка), удалял его несколько раз, возвращается так что забросил его.

Прикрепляю ЛОГ uVS

DESKTOP-9ABB609_2021-10-31_22-58-38_v4.11.11.7z

Насчёт AutorunsVTchecker: программа отписала что "всё проверенно", про логи или что-либо такое не писалось, только кнопка "ОК"

[regist]

26 минут назад, Maksimvini сказал:

"Click Install if prompted" - вообще не понимаю, что это такое

Удалите тогда через установку и удаление программ.

[Maksimvini]

"Click install if prompted" - не находит как не искал в ручную, или писал (даже словами, по типу "Click, if, install и тп". Удаление программ не видит, в Програмы и компоненты тоже не видно. (прикреплю фото и там и там, склею в Paint в одно фото)

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.11.11 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   BREG
   dirzoo %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE
   dirzooex %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE
   ;---------command-block---------
   bl 654429A818A6FF18A6B2F5DAD6C28548 160
   zoo %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS
   delall %SystemDrive%\PROGRAMDATA\WINDOWS\PROFILE\1.VBS
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
   delref %SystemRoot%\TEMP\RADMIN_VPN_1.1.4395.16 (1).EXE
   apply
   
   czoo
   restart
   
   

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

что с проблемой?

[Maksimvini]

Всё сделал как вы сказали, пк запустился нормально, в процессах не было с самого начала два процесса про отзыв (1 настоящий, дефолтный был, второго вирусного не было), Powershell вроде-бы перестали пропадать, но что-бы точно выяснить пропала ли проблема, нужно время (ибо эти процессы запускались раз в пол часа). Оправил письмо по почте, прикреплю ещё один текстовик (на всякий случай, вдруг поможет чем. Получился отдельно от скана, в тот архив не кидался)

2021-10-31_23-51-58_log.txt

на счёт "Powershell перестали пропадать" оговорился, появляться перестали)

[akoK]

Понаблюдайте, проявится ли проблема. Письмо пришло без архива.

 

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

[Maksimvini]

Прикрепляю 2 текстовика 

FRST.txt Addition.txt