[РЕШЕНО] Подозрение на подключение к ПК, возможно майнер RiskTool.Win32.BitMiner.gen

[mologa]

Здравствуйте.

Что-то словил ПК, постоянно включен Kaspersky Total Security. При работе происходит загрузка процессора и возможно видеокарты, ощущаю это увеличением скорости всех кулеров, как только запускаю диспетчер задач загрузка видимо спадает и скорость кулеров нормализуется.
Касперский ругается на C:\Users\Ivan\AppData\Roaming\Microsoft\Libs\ddb64.dll, удалить не может, not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen,

а также на  C:\Users\Ivan\AppData\Roaming\Microsoft\Libs\sihost64.exe UDS:Trojan.Win64.Inject Касперский удаляет этот файл сразу
Полную проверку делал, в безопасном режиме с помощью Dr.Web CureIt! удалил все эти файлы, но при обычном запуске через какое то время опять появляются.
Помогите, пожалуйста, как от него избавиться.
Заранее спасибо.
 

CollectionLog-2023.01.30-20.07.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Ivan\AppData\Local\Temp\services64.exe','');
 DeleteFile('C:\Users\Ivan\AppData\Local\Temp\services64.exe','64');
 DeleteSchedulerTask('services64');
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (Используйте версию из папки Автологгера).

 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1

 

 

Сделайте новые логи Автологгером. 
 

[mologa]

Сделал все согласно инструкции, новые логи приложил

CollectionLog-2023.01.30-21.50.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[mologa]

27 минут назад, mike 1 сказал:

• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Отчеты приложил

FRST.txt Addition.txt

[mike 1]

services64.exe - Trojan.Win64.Inject.agr

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   
    

   CreateRestorePoint:
   CloseProcesses:
   HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
   Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SoftEther VPN Client Manager Startup.lnk [2022-09-10]
   ShortcutTarget: SoftEther VPN Client Manager Startup.lnk -> C:\Program Files\SoftEther VPN Client\vpncmgr_x64.exe (Нет файла)
   Startup: C:\Users\Andrei\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NumLock Calculator.lnk [2020-08-12]
   ShortcutTarget: NumLock Calculator.lnk -> C:\Users\Ivan\Dropbox\Portable programms\NumLock Calculator\NLCalc.exe (Нет файла)
   AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

[mologa]

1 час назад, mike 1 сказал:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Приложил лог-файл

Fixlog.txt

[mike 1]

Что с проблемой?

[mologa]

1 час назад, mike 1 сказал:

Что с проблемой?

Больше не наблюдаю, после крайней перегрузки отработал Касперский, удалил этот объект
Событие: Обнаружен вредоносный объект
Компонент: Контроль программ
Описание результата: Обнаружено
Тип: Троянская программа
Название: UDS:Trojan.Win64.Inject.a
Степень угрозы: Высокая
Путь к объекту: C:\Users\Ivan\AppData\Local\Temp
Имя объекта: onetap_crack.exe
Причина: Облачная защита
MD5: E77F83781A3AA3AF0C31BEEA76F506AC

Большое спасибо за помощь!

[mike 1]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

    

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда  и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[mologa]

01.02.2023 в 20:18, mike 1 сказал:

• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

Отчет прилагаю, есть еще какие-нибудь рекомендации?

SecurityCheck.txt

[mike 1]

Исправьте и обновите:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

AdGuard v.7.9.3869.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.16026.20146 [+]
NVIDIA GeForce Experience 3.26.0.160 v.3.26.0.160
Steam v.2.10.91.91
TeamViewer v.15.34.4 Внимание! Скачать обновления
Epic Games Launcher v.1.1.279.0
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.23.011.0115.0006 [+]
Dropbox v.166.4.2920 [+]
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 22.01 (x64) v.22.01
WinRAR 6.11 (64-разрядная) v.6.11.0
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.7 v.7.7
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
Telegram Desktop v.4.5.3
---------------------------- [ ProxyAndVPNs ] -----------------------------
Kaspersky Secure Connection v.20.0.14.1085
Windscribe v.2.3 Build 16 [+]
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 361 (64-bit) v.8.0.3610.9 [+]
-------------------------------- [ Media ] --------------------------------
iTunes v.12.12.7.1
Spotify v.1.1.84.716.gc5f8b819 Внимание! Скачать обновления
 

На этом все. 

[mologa]

9 минут назад, mike 1 сказал:

На этом все.

Спасибо большое за помощь!

[mike 1]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".