поймал троян Trojan.Win64.Miner.gen

[ddom3]

CollectionLog-2023.10.18-18.49.zip

касперский при включении находит его и предлагает лечение с перезагрузкой, однако после перезагрузки ситуация повторяется

пробовал лечить по темам с форума, не помогло

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteFile('C:\ProgramData\poor-potato\bin.exe','64');
 DeleteSchedulerTask('gEKjFgHbI');
 DeleteSchedulerTask('potter-probably');
 DeleteFile('C:\Users\doman\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[ddom3]

CollectionLog-2023.10.18-20.49.zip

касперский все еще ругается (он все это время приостановлен)

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[ddom3]

Desktop.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1123479252-1991641812-1991015428-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {71B073D2-591E-4463-9D7B-191798F357DA} - System32\Tasks\Update for Yandex Telemost => C:\Users\doman\AppData\Roaming\Yandex\YandexTelemost\1.0.41.1245\YandexTelemost.exe  --background-update (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-1123479252-1991641812-1991015428-1001] => 185.169.183.101:8080
R2 MobSyncBrokerSvc_112d1c; C:\Windows\SysWOW64\mobsync.dll [188944 2023-10-18] (Microsoft Corporation) [Файл не подписан]
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
S2 TunnelBearMaintenance; "C:\Program Files (x86)\TunnelBear\TunnelBear.Maintenance.exe" [X]
Folder: C:\ProgramData\DeskFusion-b84df7a5-b483-4400-86c1-a910a9751ec9
2023-10-18 15:02 - 2023-10-18 20:42 - 000000000 __SHD C:\ProgramData\DeskFusion-b84df7a5-b483-4400-86c1-a910a9751ec9
2023-10-18 15:02 - 2023-10-18 15:02 - 001099548 _____ C:\Windows\SysWOW64\code129.dat
2023-10-18 15:02 - 2023-10-18 15:02 - 000188944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mobsync.dll
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-1123479252-1991641812-1991015428-1001\...\{e3c4ae7b-1661-4892-9ab3-d7eafe2a3eab}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Телемост.lnk
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameCenter\Игровой центр.lnk
AlternateDataStreams: C:\ProgramData:err [1408]
AlternateDataStreams: C:\Users\All Users:err [1408]
AlternateDataStreams: C:\Users\Все пользователи:err [1408]
AlternateDataStreams: C:\ProgramData\Application Data:err [1408]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TM.blf:5871DAEAF9 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TMContainer00000000000000000001.regtrans-ms:FA3000FCE6 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TMContainer00000000000000000002.regtrans-ms:7740D96715 [5138]
AlternateDataStreams: C:\ProgramData\settings3.bin:0FC1DE5E8C [5138]
AlternateDataStreams: C:\ProgramData\settings3.bin:7C6F6E4861 [5138]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [5138]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7290]
FirewallRules: [{05516427-00C6-42E7-ABC4-29244916761B}] => (Allow) C:\Users\doman\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{9B040FA1-2145-40E0-8545-C8D48BE8EF90}] => (Allow) C:\Users\doman\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{48234540-6263-465B-8FBE-E7679E38E0D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B8EA101C-92E6-4E04-AA65-C719A9F1FE50}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{536DB505-150A-48BB-A36F-46AB7375C6AB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C5F90EB5-1FA6-44B6-8F0F-91444983C56C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8ECB1F17-A384-40FA-ACAF-E9CCCE15E27D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{9298C106-A77A-48AA-8FA4-3FE1D9388564}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{AD8EBA59-B56C-47D6-9C91-56BB0A22E015}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{681F946D-040C-41F5-B386-7E7EB89189C9}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{E362BD32-65F1-4C53-A033-49BD513B0B78}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{C43669DA-DE2F-4124-94FF-2305D22B40FE}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯卜氹ㅆ攮數 => Нет файла
FirewallRules: [{669497B0-2E68-42B1-9F5B-E4AF27D090E4}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{6F13E06E-2DC5-4E77-B7DD-5A70067D3CB0}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{2B3E978A-76C2-49DD-B91B-09A9A6034B9C}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯歜癚⸶硥e => Нет файла
FirewallRules: [TCP Query User{AD8BA7D6-E883-4761-854E-B16FC9D180C6}C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{1E49D37F-CE3D-4D3A-AB9C-D08E4D58C276}C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [TCP Query User{FD91AD44-07C0-42E7-98BA-032240FC3C0C}C:\program files (x86)\overwatch\_retail_\overwatch.exe] => (Allow) C:\program files (x86)\overwatch\_retail_\overwatch.exe => Нет файла
FirewallRules: [UDP Query User{D62F547D-5146-4206-B114-4BEB2727E3A1}C:\program files (x86)\overwatch\_retail_\overwatch.exe] => (Allow) C:\program files (x86)\overwatch\_retail_\overwatch.exe => Нет файла
FirewallRules: [TCP Query User{15D662E6-8807-4F8C-98A4-C1729DEF85F4}C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{1F809F11-4EF6-4051-837C-E80F6146C728}C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{09ED254B-9794-4FC0-828C-99E5E6347F92}C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe] => (Allow) C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe => Нет файла
FirewallRules: [UDP Query User{3E99205B-F548-4E86-858B-268CB95C4F33}C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe] => (Allow) C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe => Нет файла
FirewallRules: [{5A1BB4B2-41C0-4F07-B8D7-0DCC7BEE8C8B}] => (Allow) C:\Program Files (x86)\PaladinVPN\Paladinsvc.exe => Нет файла
FirewallRules: [{14953B03-081E-4CCA-9054-E4CF5C05AD5E}] => (Allow) C:\Program Files (x86)\PaladinVPN\PaladinVPN.exe => Нет файла
FirewallRules: [{92B41DC5-DDE0-4370-9015-B69902E2CCA1}] => (Allow) C:\Program Files (x86)\PaladinVPN\feedback.exe => Нет файла
FirewallRules: [{4ABB5A56-07A9-4472-B846-ED5327D4E644}] => (Allow) C:\Program Files (x86)\PaladinVPN\upgrade.exe => Нет файла
FirewallRules: [{38C62D36-84C0-4F4E-A988-024E49D27350}] => (Allow) C:\Program Files (x86)\PaladinVPN\tun.exe => Нет файла
FirewallRules: [{34CE78F7-CFF0-4C05-B3B3-143CF3A998C9}] => (Allow) C:\Program Files (x86)\PaladinVPN\line.exe => Нет файла
FirewallRules: [{60EB60C8-4241-4E66-8546-BB27613F98EE}] => (Allow) C:\Program Files (x86)\PaladinVPN\tunnle\tunnle.exe => Нет файла
FirewallRules: [{20C0E805-215E-4822-99A8-06A171039D78}] => (Allow) C:\Program Files (x86)\PaladinVPN\pldsvc.exe => Нет файла
FirewallRules: [TCP Query User{A01A5857-60D8-4664-B4EB-4055D77B92DB}C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A6766758-EE25-4C29-9411-01FB78764E64}C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{F98F58E9-4669-47AB-AAA2-22243E6C02C8}C:\users\doman\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\doman\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{DD3EF601-CBD5-4417-8DA0-7C6C50015B2A}C:\users\doman\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\doman\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [TCP Query User{6E86BB80-516E-4873-872B-2423EA6F15D1}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{3CCF4613-D4B1-4EE6-9E98-A92E05812997}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E053D145-B9A2-47EB-B13C-E4B20643048D}C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{E1F1B700-A654-4319-830B-88D423E1C4CA}C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{505B2634-8C84-47A3-BA96-1B35EE14FF16}C:\games\microsoft flight simulator\flightsimulator.exe] => (Allow) C:\games\microsoft flight simulator\flightsimulator.exe => Нет файла
FirewallRules: [UDP Query User{373C1F85-DDEA-4948-83E6-59744CD2533B}C:\games\microsoft flight simulator\flightsimulator.exe] => (Allow) C:\games\microsoft flight simulator\flightsimulator.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[ddom3]

Fixlog.txt

майнер вроде бы перестал работать, если судить по нагрузке и температурам, но касперский продолжает ругаться

[thyrex]

Проблема решена?

[ddom3]

вроде бы да

спасибо огромное!!!

[thyrex]

Папку C:\FRST\Quarantine упакуйте в архив с паролем, пожалуйста. Выложите на облако и ссылку на скачивание передайте через систему личных сообщений.
Не забудьте там же сообщить пароль.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[ddom3]

SecurityCheck.txt

[thyrex]

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.