Возможно майнер. Вирус в папке temp

[PashaR]

Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)

Спойлер

 

 

 

CollectionLog-2023.02.01-00.00.zip

Изменено 1 февраля, 2023 пользователем Sandor
Картинки спрятал под спойлер

[Sandor]

Здравствуйте!

 

Явных признаков заражения не видно пока. Но работают два антивируса - Kaspersky Endpoint Security и Avast.

Попробуйте удалить второй по советам с их сайта.

 

После этого:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[PashaR]

День добрый, прикрепил

Addition.txt FRST.txt

На всякий случай вот еще Log-сканирование с выключенными антивирусами

CollectionLog-2023.02.03-10.58.zip

 

Кстати, сейчас смог установить Яндекс браузер, после удаления антивирусов 

 

[Sandor]

HitmanPro 3.8 - тоже удалите.

Ещё кое-что почистим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2808517931-4122774864-3861032025-1001\...\MountPoints2: {798e7fbe-6fb5-11ec-a218-2cf05d88c005} - "E:\HiSuiteDownLoader.exe" 
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {2CDF6D2F-024D-4BF8-87EC-01194FA052E4} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (Нет файла)
  Task: {C43FFFB4-15A3-4CAC-8F83-9654B34ED743} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2311576 2022-12-13] (Avast Software s.r.o. -> Avast Software)
  U1 aswbdisk; отсутствует ImagePath
  2023-02-03 10:02 - 2019-08-20 22:11 - 000000000 ____D C:\ProgramData\AVAST Software
  2023-01-31 21:56 - 2020-09-28 00:59 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
  2023-01-29 19:07 - 2020-09-28 00:59 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
  AV: Kaspersky Endpoint Security для Windows (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Endpoint Security для Windows (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  AlternateDataStreams: C:\Users\paves\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
  AlternateDataStreams: C:\Users\paves\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
  FirewallRules: [{812F4085-7757-41E3-9656-6A4B41AA4E9C}] => (Allow) LPort=31104
  FirewallRules: [{CCAA481E-A565-42A9-93E9-3F0788B5FF3C}] => (Allow) LPort=31105
  FirewallRules: [{6791C22F-783C-48EE-B086-58BE7323F9A1}] => (Allow) LPort=31106
  FirewallRules: [{80736AF8-5E28-434D-8AFD-9CF94BC78F90}] => (Allow) LPort=31107
  FirewallRules: [{99C984D3-30A9-4E5E-A11D-4A57FDD2AFCA}] => (Allow) LPort=31108
  FirewallRules: [{1D1C02C5-40A7-4C4D-B961-96AA0BDD9898}] => (Allow) LPort=31109
  FirewallRules: [{0E4BEA93-6022-42D5-85D7-7F1F5F81AE0F}] => (Allow) LPort=31110
  FirewallRules: [{C5FE8B22-DC54-48D9-B278-20FFA3BAD7B0}] => (Allow) LPort=31111
  FirewallRules: [{8BEF00AA-F438-47FE-A602-AE1042C88B34}] => (Allow) LPort=31112
  FirewallRules: [{B001598E-CE90-423E-A0D2-374DECBE3696}] => (Allow) LPort=31113
  FirewallRules: [{6142E3B0-BD68-4A36-9916-D3E5BBB946FF}] => (Allow) LPort=31114
  FirewallRules: [{0F8CB381-19AE-43F4-80DD-3368FC9C6BB4}] => (Allow) LPort=31115
  FirewallRules: [{6ABE544D-A207-4102-9464-EC78F7D33A1B}] => (Allow) LPort=31116
  FirewallRules: [{CED27174-E37A-4F8B-BAD5-C639D1F1F69E}] => (Allow) LPort=31117
  FirewallRules: [{53A0E59E-07BB-4227-B623-53989A90F233}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
  FirewallRules: [{6390B382-621F-4CC3-A56C-DAF499BCB56B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
  FirewallRules: [{29D64D97-DA0C-4ECC-BA73-0183579C65C3}] => (Allow) LPort=5357
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[PashaR]

Сделал

 

Fixlog.txt

[Sandor]

Хорошо, далее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[PashaR]

Готово

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
VMware Workstation v.16.2.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Python 3.8.1 (32-bit) v.3.8.1150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Указанное желательно по возможности исправить.

Установите антивирус (можно наш бесплатный) и последите. Тему пока не закрываем.