Майнер

[95ych0]

Давно обнаружил Майнер у себя на ПК. Никак его не могу найти или удалить, пробовал все программы, доктор веб тоже не помог. Мне кажется он был в Euro Truck Simulator 2 от 7launcher, так как после него я заметил такие изменения в моем аппарате. Может, ещё от GTA 4, точно не знаю. ГТА весила около 15гб, а ЕТС2 20гб, поэтому высока вероятность что в кучке всего этого мог быть майнер.

[safety]

Сделайте необходимые логи по правилам.

[95ych0]

CollectionLog-2024.01.24-16.57.zip

[Sandor]

Здравствуйте!

 

Явных признаков заражения пока не видно.

 

В перечне установленных программ у вас есть Autoruns, версия 14.0.9

Насколько мне известно, все утилиты Sysinternals являются портативными и в систему не устанавливаются.

Деинсталлируйте вместе с MediaGet - нежелательное ПО.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

+

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

[95ych0]

AdwCleaner[S01].txt

 

2 часа назад, Sandor сказал:

 

Явных признаков заражения пока не видно..
 

Майнер на то и майнер, чтобы быть скрытным. Резко захожу в дисп. задач, нагрзука с 40 падает на 2-5. Раньше нормально во все игры играл, теперь же ноут перегревается и выключается когда играю. Началось это все после осени 2022 где-то, я нормально играл в Гта Сан-Андрес, с максимальным разрешением и графикой, все тянуло, 60 фпс. Теперь же тчнет в 60 фпс только 800х640 разрешение и мин. настройки графики, хватает на 5 минут, после чего вырубается. Ни в одну игру не могу нормально поиграть, но железо тянет их.

[safety]

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[95ych0]

Addition.txt FRST.txt DESKTOP-0C50NLU_2024-01-25_06-30-32_v4.15.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\KATE\APPDATA\LOCAL\KINGOSOFT\KINGO ROOT\UPDATE_27205\BIN\CHECKUPDATE.EXE
hide %SystemDrive%\USERS\KATE\APPDATA\ROAMING\.TLAUNCHER\JVMS\JRE1.8.0_281\BIN\JFXWEBKIT.DLL
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKBPNBONNHILFDIHHODNFLCPLAJKLIBBC%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\BF2HUB CLIENT\BF2HUB.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.50.1_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\NIKITA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.66.0_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref E:\HISUITEDOWNLOADER.EXE
delref F:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\UFILER\UFILER.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\OPERA\ASSISTANT\BROWSER_ASSISTANT.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\COM.BROTORRENT.TORRENT-CLIENT\BROTORRENT - TORRENT CLIENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OVERWOLF\OVERWOLFLAUNCHER.EXE
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MEDIATEK\SP DRIVER\SPDRIVERINSTALL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2105.5-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F69A6964-422D-4AA4-ABA9-8EDE2C249AE5}\MPKSLDRV.SYS
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE
delref %SystemDrive%\USERS\NIKITA\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER\ONEDRIVESETUP.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\ROBLOX\VERSIONS\VERSION-2CB276529B1D45B0\ROBLOXPLAYERBETA.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\ROBLOX\VERSIONS\ROBLOXSTUDIOLAUNCHERBETA.EXE
delref %SystemDrive%\GAMES\COUNTER STRIKE 1.6\HL.EXE
delref %SystemDrive%\USERS\KATE\DESKTOP\HUMAN FALL FLAT\STEAMCLIENT_LOADER.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\TEAMSPEAK 3 CLIENT\TS3CLIENT_WIN32.EXE
delref %SystemDrive%\USERS\KATE\APPDATA\LOCAL\PROGRAMS\АРХИВАТОР РАР\ARCHRAR.EXE
delref %SystemDrive%\PROGRAM FILES\BLACKMAGIC DESIGN\DAVINCI RESOLVE\RESOLVE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GRAND THEFT AUTO IV\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-148050-ATAYS-EUPHORIA-RAGDOLL-OVERHAUL-GTA-4.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GRAND THEFT AUTO IV\MODMANAGER UNINSTALLERS\UNINSTALL-[PROGRAMS]-161098-ZOLIKA1351S-TRAINER-MOD-MENU.EXE
delref %SystemDrive%\PROGRAM FILES\FONELAB\FONELAB ANDROID DATA RECOVERY\FONELAB ANDROID DATA RECOVERY.EXE
delref %SystemDrive%\GAMES\THE LONG DRIVE V06.04.2023\THELONGDRIVE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, есть ли какие то симптомы работы майнера.

[Sandor]

+

Файл AdwCleaner[C00].txt тоже прикрепите, пожалуйста.

[95ych0]

AdwCleaner[C00].txt

[Sandor]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новые логи FRST.txt и Addition.txt

 

Не забудьте

57 минут назад, safety сказал:

добавьте файл Дата_времяlog.txt из папки uVS

 

[95ych0]

2024-01-25_09-58-48_log.txt

 

AV_block_remove_2024.01.25-10.08.log

 

Новые логи.

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  CHR DefaultSearchKeyword: Default -> mcafee
  C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  CHR DefaultSearchURL: Profile 3 -> hxxp://extension-search.online/?q={searchTerms}
  CHR DefaultSuggestURL: Profile 3 -> hxxp://extension-search.online/suggest/get?part={searchTerms}
  C:\Users\kate\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
  2023-09-23 14:11 C:\ProgramData\ReaItekHD
  2023-09-23 14:11 C:\ProgramData\System32
  2023-09-23 14:11 C:\ProgramData\Windows Tasks Service
  2023-09-23 14:11 C:\ProgramData\WindowsTask
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [173]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [173]
  AlternateDataStreams: C:\Users\kate\Application Data:NT [40]
  AlternateDataStreams: C:\Users\kate\Application Data:NT2 [173]
  AlternateDataStreams: C:\Users\kate\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\kate\AppData\Roaming:NT2 [173]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [173]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [173]
  FirewallRules: [TCP Query User{D6E03375-954B-44DE-98B7-C5DDBD6E5C93}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
  FirewallRules: [UDP Query User{EC36450F-F012-472B-97A9-F0CA1CA48562}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
  FirewallRules: [{130257E7-12A4-42E4-BDC1-F9C1844946C2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{DD0CCE47-6C44-4BFD-8B74-2ED64C1D4EBB}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{5A93F202-0EC9-4595-B619-0E3291412BA2}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла
  FirewallRules: [{B3BF8285-572F-495A-B4A0-45FE910EBC18}] => (Allow) C:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe => Нет файла
  FirewallRules: [{5A1E7E5A-727B-4DFA-98FE-4FBA74A1669C}] => (Allow) C:\Users\kate\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{D48F8842-9807-4A7F-BD62-5CFE65BA7876}] => (Allow) C:\Users\kate\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
  FirewallRules: [{790A1CE3-98DF-401D-8348-7577FB9BFEFA}] => (Allow) C:\Users\kate\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{07CB0AB2-D95E-4CDF-AB82-1CD0E0467F4D}] => (Allow) C:\Users\kate\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{07FC60C1-BCEE-483F-990D-300021349F67}] => (Allow) C:\Users\kate\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{C544C8D4-57C6-488A-B690-4ABF218E2234}] => (Allow) C:\Users\kate\MediaGet2\QtWebEngineProcess.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[95ych0]

Я так и не понял как это делать. Просто нажать исправить или скрипт а блокноте вводить?

[Sandor]

Сначала выделить и скопировать.

Скрипт будет выполнен прямо из буфера обмена.