Перейти к содержанию

Возможно майнер. Вирус в папке temp


Рекомендуемые сообщения

Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)

Спойлер

 

фото 1.png

фото 2.png

фото 3.png

фото 4.png

 

 

CollectionLog-2023.02.01-00.00.zip

Изменено пользователем Sandor
Картинки спрятал под спойлер
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Явных признаков заражения не видно пока. Но работают два антивируса - Kaspersky Endpoint Security и Avast.

Попробуйте удалить второй по советам с их сайта.

 

После этого:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

День добрый, прикрепил

Addition.txt FRST.txt

На всякий случай вот еще Log-сканирование с выключенными антивирусами

CollectionLog-2023.02.03-10.58.zip

 

Кстати, сейчас смог установить Яндекс браузер, после удаления антивирусов 🤔

 

Ссылка на сообщение
Поделиться на другие сайты

HitmanPro 3.8 - тоже удалите.

Ещё кое-что почистим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2808517931-4122774864-3861032025-1001\...\MountPoints2: {798e7fbe-6fb5-11ec-a218-2cf05d88c005} - "E:\HiSuiteDownLoader.exe" 
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {2CDF6D2F-024D-4BF8-87EC-01194FA052E4} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (Нет файла)
    Task: {C43FFFB4-15A3-4CAC-8F83-9654B34ED743} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2311576 2022-12-13] (Avast Software s.r.o. -> Avast Software)
    U1 aswbdisk; отсутствует ImagePath
    2023-02-03 10:02 - 2019-08-20 22:11 - 000000000 ____D C:\ProgramData\AVAST Software
    2023-01-31 21:56 - 2020-09-28 00:59 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
    2023-01-29 19:07 - 2020-09-28 00:59 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
    AV: Kaspersky Endpoint Security для Windows (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Endpoint Security для Windows (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    AlternateDataStreams: C:\Users\paves\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
    AlternateDataStreams: C:\Users\paves\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
    FirewallRules: [{812F4085-7757-41E3-9656-6A4B41AA4E9C}] => (Allow) LPort=31104
    FirewallRules: [{CCAA481E-A565-42A9-93E9-3F0788B5FF3C}] => (Allow) LPort=31105
    FirewallRules: [{6791C22F-783C-48EE-B086-58BE7323F9A1}] => (Allow) LPort=31106
    FirewallRules: [{80736AF8-5E28-434D-8AFD-9CF94BC78F90}] => (Allow) LPort=31107
    FirewallRules: [{99C984D3-30A9-4E5E-A11D-4A57FDD2AFCA}] => (Allow) LPort=31108
    FirewallRules: [{1D1C02C5-40A7-4C4D-B961-96AA0BDD9898}] => (Allow) LPort=31109
    FirewallRules: [{0E4BEA93-6022-42D5-85D7-7F1F5F81AE0F}] => (Allow) LPort=31110
    FirewallRules: [{C5FE8B22-DC54-48D9-B278-20FFA3BAD7B0}] => (Allow) LPort=31111
    FirewallRules: [{8BEF00AA-F438-47FE-A602-AE1042C88B34}] => (Allow) LPort=31112
    FirewallRules: [{B001598E-CE90-423E-A0D2-374DECBE3696}] => (Allow) LPort=31113
    FirewallRules: [{6142E3B0-BD68-4A36-9916-D3E5BBB946FF}] => (Allow) LPort=31114
    FirewallRules: [{0F8CB381-19AE-43F4-80DD-3368FC9C6BB4}] => (Allow) LPort=31115
    FirewallRules: [{6ABE544D-A207-4102-9464-EC78F7D33A1B}] => (Allow) LPort=31116
    FirewallRules: [{CED27174-E37A-4F8B-BAD5-C639D1F1F69E}] => (Allow) LPort=31117
    FirewallRules: [{53A0E59E-07BB-4227-B623-53989A90F233}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{6390B382-621F-4CC3-A56C-DAF499BCB56B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{29D64D97-DA0C-4ECC-BA73-0183579C65C3}] => (Allow) LPort=5357
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, далее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
VMware Workstation v.16.2.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Python 3.8.1 (32-bit) v.3.8.1150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Указанное желательно по возможности исправить.

Установите антивирус (можно наш бесплатный) и последите. Тему пока не закрываем.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • ARTEMIS
      От ARTEMIS
      Здравствуйте!
      Обнаружил в браузерах надпись управляется вашей организацией
       
      Пробовал удалять политики но с каждым перезапуском пк появляется снова.
      Так же загружаются расширения T-cashback, Find it, DuckDuckGo, пробовал удалять но с каждым перезапуском браузера появляются снова

      Пробовал сканить CureIt находит угрозу CHROMIUM:PAGE.MALWARE.URL, если пробовать вылечить то не лечится

      Прошу помогите удалить этот вирус
      CollectionLog-2024.05.27-21.22.zip
    • ARTEMIS
      От ARTEMIS
      В браузере самостоятельно устанавливается дополнение Find it, T-cashback. Удаляю, но при следующем запуске браузера оно снова в расширениях 
      cure it и malwarebytes не помогает, находит их но не лечит
      Помогите удалить гадости эти.
    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
×
×
  • Создать...