Майнер updater.exe восстанавливается

[Rembo111]

Поймал майнер,название updater.exe .
Его обнаружил только MalwareBytes,MinerSearch не нашел ничего.
После удаления сразу появляется заново.Обитает в папке c://ProgramData/Microsoft

И еще одно,удивительное,в безопасном режиме с поддержкой сетевых драйверов происходит вакханалия!Слетают процессы винды,ужас полный на экране.

CollectionLog-2024.04.29-18.55.zip

Изменено 29 апреля, 2024 пользователем Rembo111
1

[thyrex]

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\update.exe','');
 DeleteService('Windows Update');
 DeleteFile('C:\ProgramData\Microsoft\update.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Rembo111]

2024.04.29_quarantine_295816e64d92464ae7646e7d60728270.7z
CollectionLog-2024.04.29-19.19.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Rembo111]

@thyrex,все сделал,только программа бесконечно обновлялась,помог перезапуск.

Downloads.rar

[thyrex]

Скачайте по ссылке файл и разархивируйте.

Запустите каждый файл и подтвердите внесение информации в реестр.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-12-04] (Microsoft Windows -> Microsoft Corporation) -> get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
Task: {9C07DB9A-2DFB-42F4-85FB-ED4F817B9804} - System32\Tasks\Восстановление сервиса обновлений Яндекс Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.1.928\service_update.exe  --repair (Нет файла)
Task: {6EC16D90-B231-44C3-82A9-2697CFF871F4} - System32\Tasks\Обновление Браузера Яндекс => C:\Users\cocoJambo\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --background-update --noerrdialogs (Нет файла)
Task: {72D25CFB-3C8E-4A54-9F72-C426C5C895C1} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.1.928\service_update.exe  --run-as-launcher (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR DefaultSearchURL: Default -> hxxp://searchtds.com/?q={searchTerms}
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S4 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9012]
FirewallRules: [{3526CA25-BEC5-42AB-AA9C-E6D071BCAEDE}] => (Allow) C:\Users\cocoJambo\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [{E642D30B-9236-47BC-AE20-BF631110155F}] => (Allow) C:\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{4A73428C-7DAF-40F8-BD5D-498A48CA9D96}] => (Allow) C:\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{5E0E2B2A-2C99-46E9-8DAA-63117A32B655}] => (Allow) E:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла
FirewallRules: [{C3411542-C7C3-4D36-B7CB-8165A1A2037B}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{29E7E069-1174-4666-9F5F-8D80DF6B7529}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{189BA0A6-D6DC-467E-B33E-1FDF38E95D59}C:\program files\obs-studio\bin\64bit\obs64.exe] => (Allow) C:\program files\obs-studio\bin\64bit\obs64.exe => Нет файла
FirewallRules: [UDP Query User{F0C457AE-FA21-4A2F-B5BD-6D8E16FE7CE5}C:\program files\obs-studio\bin\64bit\obs64.exe] => (Allow) C:\program files\obs-studio\bin\64bit\obs64.exe => Нет файла
FirewallRules: [{E46EF220-01B2-4F94-AC91-D593C2F264EB}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{4AD388D4-96AB-4139-9113-EBADB8770416}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{D1F41BDC-F7B9-47D6-9C7C-EF95793574A0}] => (Allow) C:\Users\cocoJambo\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{4DD3F0F9-C927-4317-AE99-260ED1D8C0D1}] => (Allow) C:\Users\cocoJambo\AppData\Local\GameCenter\GameCenter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Rembo111]

Fixlog.txt @thyrex

[thyrex]

Проблема решена?

[Rembo111]

Только что, thyrex сказал:

Проблема решена?

Файл пропал. Вроде не появляется.Спасибо огромное,всех благ

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.