Перейти к содержанию

Возможно майнер. Вирус в папке temp


Рекомендуемые сообщения

Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)

Спойлер

 

фото 1.png

фото 2.png

фото 3.png

фото 4.png

 

 

CollectionLog-2023.02.01-00.00.zip

Изменено пользователем Sandor
Картинки спрятал под спойлер
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Явных признаков заражения не видно пока. Но работают два антивируса - Kaspersky Endpoint Security и Avast.

Попробуйте удалить второй по советам с их сайта.

 

После этого:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

День добрый, прикрепил

Addition.txt FRST.txt

На всякий случай вот еще Log-сканирование с выключенными антивирусами

CollectionLog-2023.02.03-10.58.zip

 

Кстати, сейчас смог установить Яндекс браузер, после удаления антивирусов 🤔

 

Ссылка на сообщение
Поделиться на другие сайты

HitmanPro 3.8 - тоже удалите.

Ещё кое-что почистим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2808517931-4122774864-3861032025-1001\...\MountPoints2: {798e7fbe-6fb5-11ec-a218-2cf05d88c005} - "E:\HiSuiteDownLoader.exe" 
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {2CDF6D2F-024D-4BF8-87EC-01194FA052E4} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (Нет файла)
    Task: {C43FFFB4-15A3-4CAC-8F83-9654B34ED743} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2311576 2022-12-13] (Avast Software s.r.o. -> Avast Software)
    U1 aswbdisk; отсутствует ImagePath
    2023-02-03 10:02 - 2019-08-20 22:11 - 000000000 ____D C:\ProgramData\AVAST Software
    2023-01-31 21:56 - 2020-09-28 00:59 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
    2023-01-29 19:07 - 2020-09-28 00:59 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
    AV: Kaspersky Endpoint Security для Windows (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Endpoint Security для Windows (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\Users\paves\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
    AlternateDataStreams: C:\Users\paves\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
    FirewallRules: [{812F4085-7757-41E3-9656-6A4B41AA4E9C}] => (Allow) LPort=31104
    FirewallRules: [{CCAA481E-A565-42A9-93E9-3F0788B5FF3C}] => (Allow) LPort=31105
    FirewallRules: [{6791C22F-783C-48EE-B086-58BE7323F9A1}] => (Allow) LPort=31106
    FirewallRules: [{80736AF8-5E28-434D-8AFD-9CF94BC78F90}] => (Allow) LPort=31107
    FirewallRules: [{99C984D3-30A9-4E5E-A11D-4A57FDD2AFCA}] => (Allow) LPort=31108
    FirewallRules: [{1D1C02C5-40A7-4C4D-B961-96AA0BDD9898}] => (Allow) LPort=31109
    FirewallRules: [{0E4BEA93-6022-42D5-85D7-7F1F5F81AE0F}] => (Allow) LPort=31110
    FirewallRules: [{C5FE8B22-DC54-48D9-B278-20FFA3BAD7B0}] => (Allow) LPort=31111
    FirewallRules: [{8BEF00AA-F438-47FE-A602-AE1042C88B34}] => (Allow) LPort=31112
    FirewallRules: [{B001598E-CE90-423E-A0D2-374DECBE3696}] => (Allow) LPort=31113
    FirewallRules: [{6142E3B0-BD68-4A36-9916-D3E5BBB946FF}] => (Allow) LPort=31114
    FirewallRules: [{0F8CB381-19AE-43F4-80DD-3368FC9C6BB4}] => (Allow) LPort=31115
    FirewallRules: [{6ABE544D-A207-4102-9464-EC78F7D33A1B}] => (Allow) LPort=31116
    FirewallRules: [{CED27174-E37A-4F8B-BAD5-C639D1F1F69E}] => (Allow) LPort=31117
    FirewallRules: [{53A0E59E-07BB-4227-B623-53989A90F233}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{6390B382-621F-4CC3-A56C-DAF499BCB56B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{29D64D97-DA0C-4ECC-BA73-0183579C65C3}] => (Allow) LPort=5357
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, далее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
VMware Workstation v.16.2.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Python 3.8.1 (32-bit) v.3.8.1150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Указанное желательно по возможности исправить.

Установите антивирус (можно наш бесплатный) и последите. Тему пока не закрываем.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • scopsa
      От scopsa
      Здравствуйте у меня тоже самое, можно что то с  этим сделать
      Сообщение от модератора kmscom Сообщение перенесено из темы Вирус-шифровальщик "datastore@cyberfear"  
    • Gikboer
      От Gikboer
      Здравствуйте, подскажите пожалуйста. На компьютер попал вирус-шифровальщик и теперь все файлы стали называться с расширением "datastore@cyberfear". Вирус скорее-всего называется - Phobos.
    • khifu
      От khifu
      он вроде появился когда я скачивал игры с торрента, всё время касперский уведомлял меня про этот вирус и решил разобраться с ним
      CollectionLog-2024.06.25-01.22.zip
    • Viani
      От Viani
      Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
      ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
      桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
      Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
      CollectionLog-2024.11.10-21.44.zip report1.log report2.log
    • ptenchik42
      От ptenchik42
      При проверке Касперским находит вирус, удаляет и просит перезагрузить пк, после перезагрузки снова появляется это сообщение, торрент удалил уже, из-за чего может быть и как исправить?
      CollectionLog-2024.11.10-23.01.zip
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.