Возможно майнер. Вирус в папке temp

31 января, 2023

Добрый вечер, мне кажется, что я подцепил вирус на свой ПК, помогите решить проблему, пожалуйста. Понял, что что-то идет не так, когда вдруг при включении ПК обнаружил, что Яндекс.Браузер и антивирус Avast сами по себе удалились. Причем Avast все еще есть среди файлов на диске, да и в диспетчере задач на фоне отображается, но в "Панель управления>Удаление приложений" я его не увидел. Так же он отображается работающим в "Безопасность Windows>Защита от вирусов и угроз", но при нажатии на кнопку открыть ничего не происходит. Если попробовать скачать и запустить установщик, то он зависает на долгое время, а потом вылетает. Яндекс.Браузер совсем пропал, при попытке его переустановить вылазит предупреждение о трояне в папке temp и предложение лечить перезагрузкой (фото 1 и 2), название у файлов каждый раз новое. Если лечить без перезагрузки, то установщик браузера закрывается не закончив установку, а компьютер начинает очень тормозить и гудеть, если нажать лечить перезагрузкой, то пк перестает реагировать на любые действия и выдает ошибки памяти (фото 3), даже проводник и диспетчер задач не открывает. Сканировал разными программами: HitManPro, ESET Online Scanner, dr.Web, KVRT - ни одна ничего не обнаружила. Так же заметил, что в "Свойства системы>Защита системы" есть как-то странный диск с подозрительным названием (фото 4), раньше я сюда не залазил, так что не знаю был ли он там ранее, при нажатии на кнопку "Настроить" текущее окно вылетает, а окно настроек не открывается. Когда открываю диспетчер задач, то долю секунды наблюдаю загруженность ЦП в 90-100%, потом быстро падает, отследить что за задача так его нагружает не возможно за такое короткое время, поэтому думаю, что может это скрытый майнер. Результат сканирования прикрепил. Спасибо)

Спойлер

CollectionLog-2023.02.01-00.00.zip

Изменено 1 февраля, 2023 пользователем Sandor
Картинки спрятал под спойлер

1 февраля, 2023

Здравствуйте!

Явных признаков заражения не видно пока. Но работают два антивируса - Kaspersky Endpoint Security и Avast.

Попробуйте удалить второй по советам с их сайта.

После этого:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

3 февраля, 2023

День добрый, прикрепил

Addition.txt FRST.txt

На всякий случай вот еще Log-сканирование с выключенными антивирусами

CollectionLog-2023.02.03-10.58.zip

Кстати, сейчас смог установить Яндекс браузер, после удаления антивирусов

3 февраля, 2023

HitmanPro 3.8 - тоже удалите.

Ещё кое-что почистим.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2808517931-4122774864-3861032025-1001\...\MountPoints2: {798e7fbe-6fb5-11ec-a218-2cf05d88c005} - "E:\HiSuiteDownLoader.exe" 
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2CDF6D2F-024D-4BF8-87EC-01194FA052E4} - System32\Tasks\Avast Emergency Update => C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe (Нет файла)
Task: {C43FFFB4-15A3-4CAC-8F83-9654B34ED743} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2311576 2022-12-13] (Avast Software s.r.o. -> Avast Software)
U1 aswbdisk; отсутствует ImagePath
2023-02-03 10:02 - 2019-08-20 22:11 - 000000000 ____D C:\ProgramData\AVAST Software
2023-01-31 21:56 - 2020-09-28 00:59 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
2023-01-29 19:07 - 2020-09-28 00:59 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
AV: Kaspersky Endpoint Security для Windows (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Endpoint Security для Windows (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
AlternateDataStreams: C:\Users\paves\Application Data:a4a7135d5fc196220c4b1dfe38793a5a [394]
AlternateDataStreams: C:\Users\paves\AppData\Roaming:a4a7135d5fc196220c4b1dfe38793a5a [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [488]
FirewallRules: [{812F4085-7757-41E3-9656-6A4B41AA4E9C}] => (Allow) LPort=31104
FirewallRules: [{CCAA481E-A565-42A9-93E9-3F0788B5FF3C}] => (Allow) LPort=31105
FirewallRules: [{6791C22F-783C-48EE-B086-58BE7323F9A1}] => (Allow) LPort=31106
FirewallRules: [{80736AF8-5E28-434D-8AFD-9CF94BC78F90}] => (Allow) LPort=31107
FirewallRules: [{99C984D3-30A9-4E5E-A11D-4A57FDD2AFCA}] => (Allow) LPort=31108
FirewallRules: [{1D1C02C5-40A7-4C4D-B961-96AA0BDD9898}] => (Allow) LPort=31109
FirewallRules: [{0E4BEA93-6022-42D5-85D7-7F1F5F81AE0F}] => (Allow) LPort=31110
FirewallRules: [{C5FE8B22-DC54-48D9-B278-20FFA3BAD7B0}] => (Allow) LPort=31111
FirewallRules: [{8BEF00AA-F438-47FE-A602-AE1042C88B34}] => (Allow) LPort=31112
FirewallRules: [{B001598E-CE90-423E-A0D2-374DECBE3696}] => (Allow) LPort=31113
FirewallRules: [{6142E3B0-BD68-4A36-9916-D3E5BBB946FF}] => (Allow) LPort=31114
FirewallRules: [{0F8CB381-19AE-43F4-80DD-3368FC9C6BB4}] => (Allow) LPort=31115
FirewallRules: [{6ABE544D-A207-4102-9464-EC78F7D33A1B}] => (Allow) LPort=31116
FirewallRules: [{CED27174-E37A-4F8B-BAD5-C639D1F1F69E}] => (Allow) LPort=31117
FirewallRules: [{53A0E59E-07BB-4227-B623-53989A90F233}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{6390B382-621F-4CC3-A56C-DAF499BCB56B}] => (Allow) C:\Program Files\AVAST Software\Avast\AvastUI.exe => Нет файла
FirewallRules: [{29D64D97-DA0C-4ECC-BA73-0183579C65C3}] => (Allow) LPort=5357
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

3 февраля, 2023

Сделал

Fixlog.txt

3 февраля, 2023

Хорошо, далее:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

3 февраля, 2023

Готово

SecurityCheck.txt

3 февраля, 2023

--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.37.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
VMware Workstation v.16.2.4 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Python 3.8.1 (32-bit) v.3.8.1150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Указанное желательно по возможности исправить.

Установите антивирус (можно наш бесплатный) и последите. Тему пока не закрываем.

Возможно майнер. Вирус в папке temp

Рекомендуемые сообщения

PashaR

Sandor

PashaR

Sandor

PashaR

Sandor

PashaR

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum