[РЕШЕНО] Майнер John

[twixon]

Случайно обнаружил пользователя John, погуглил, и вроде как выяснил, что это майнер. Папка создана 11 апреля, но вроде бы я заходил в users и после 11 числа, а папки не было. Может быть такое, что "активировалась" она позже? Благо смог выяснить откуда подцепил это дело. Логи прикрепляю, спасибо! Какие действия нужно дальше предпринимать?
AV_block_remove_2023.06.17-03.51.log

CollectionLog-2023.06.17-04.24.zip

Изменено 17 июня, 2023 пользователем twixon

[SQ]

Здравствуйте,

Майнеры в большинстве случаев устанавливается с пиратским ПО. Также с крэками, активаторами и т.п. Как например у Вас в логах можно увидеть активатор Microsoft Windows/Office

O22 - Tasks: AAct - C:\Windows\AAct_Tools\AAct.exe /ofs=act

Также возможно вы пытали установить какую-то игру с сайта сомнительной репутацией.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[twixon]

Игры с торрентов не качаю)
Причина была в активаторе.. хоть лицензию теперь покупай))
Файлы прилагаю. Спасибо!!FRST.txtAddition.txt

[SQ]

Игры не обязательно с торрентов качать, очень много сайта с сомнительной репутация предалагают скачать игры.

 

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   SystemRestore: On
   CreateRestorePoint:
   HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
   HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
   Task: {724A3A47-5E64-4CFF-9C6C-7597AB715FB3} - System32\Tasks\MATLAB R2022a Startup Accelerator => E:\MATLAB\bin\win64\MATLABStartupAccelerator.exe  (Нет файла)
   Task: {832549FB-43C7-4D4C-A15B-D47249659935} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC Reboot (Нет файла)
   Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
   Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
   Task: {FDDF842A-4101-474E-B9D4-C38132380618} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery Reboot (Нет файла)
   Folder: C:\Users\Ilya\AppData\Roaming\xm1
   Virustotal: C:\WINDOWS\system32\rfxvmt.dll
   Virustotal: C:\WINDOWS\system32\WinTab32.dll
   Virustotal: C:\WINDOWS\SysWOW64\WinTab32.dll
   AlternateDataStreams: C:\Users\Ilya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   AlternateDataStreams: C:\Users\Ilya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
   AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6044]
   FirewallRules: [{C2EEF53E-5B09-4F11-AE56-E35A713A3E6E}] => (Allow) C:\Users\Ilya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
   FirewallRules: [{62BA8A26-2617-473B-B7E3-EC562F1A6BCC}] => (Allow) C:\Users\Ilya\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
   FirewallRules: [UDP Query User{A13ACC2C-4674-4E85-B726-24C735C5454A}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
   FirewallRules: [TCP Query User{79C14109-21E5-4534-9F9E-B73D833DA15A}C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла
   FirewallRules: [{32F9831F-A0A7-4007-8136-2F83DBD9EA02}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
   FirewallRules: [{C84DB9B3-0925-4062-AF20-10824396F7E2}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
   FirewallRules: [UDP Query User{CB82E1F8-1C7C-4BCF-B9E3-958C9C48FC62}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла
   FirewallRules: [TCP Query User{09DE6A55-EBBF-4AA2-84D8-6E23C9D422AA}C:\program files (x86)\windscribe\wsappcontrol.exe] => (Allow) C:\program files (x86)\windscribe\wsappcontrol.exe => Нет файла
   FirewallRules: [UDP Query User{AE75C03E-0DEE-4082-AB9A-5914F37E6ED8}C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe] => (Allow) C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe => Нет файла
   FirewallRules: [TCP Query User{6007542F-124E-4916-A28A-8011E3466417}C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe] => (Allow) C:\users\ilya\appdata\local\discord\app-1.0.9007\discord.exe => Нет файла
   FirewallRules: [{EF7B15DC-62A4-4BAC-814B-543563D5485C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
   FirewallRules: [{485BE919-8C6B-4DEC-97D7-517789CDC850}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Нет файла
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[twixon]

Готово!
Fixlog.txt

[SQ]

В последних логах не было обнаружено майнера, только его хвосты, которые были очищены.

Сообщите, что с проблемой?

[twixon]

Вроде все хорошо, на сайты дает заходить, нагрузка на видеокарту спала. Спасибо!

[SQ]

Завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

[twixon]

Готово! SecurityCheck.txt

[SQ]

Ознакомьтесь с результатом:

Статус лицензии: Office 19, Office19ProjectPro2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 160989 мин.
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Срок истечения многопользовательской активации: 160989 мин.
-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie-Plus v1.9.6 v.1.9.6 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.40.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.4.7 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления
Wireshark 4.0.2 64-bit v.4.0.2 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
Zoom v.5.13.3 (11494) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 15.9.0 Basic v.15.9.0 Внимание! Скачать обновления
VLC media player v.3.0.11 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

[twixon]

Спасибо!

[SQ]

На этом всё! Удачи.

[SQ]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".