Перейти к содержанию

Майнер updater.exe восстанавливается


Рекомендуемые сообщения

Поймал майнер,название updater.exe .
Его обнаружил только MalwareBytes,MinerSearch не нашел ничего.
После удаления сразу появляется заново.Обитает в папке c://ProgramData/Microsoft

И еще одно,удивительное,в безопасном режиме с поддержкой сетевых драйверов происходит вакханалия!Слетают процессы винды,ужас полный на экране.

CollectionLog-2024.04.29-18.55.zip

image.thumb.png.2b8301d8e8016ed9d09a3e70cab44e98.pngimage.thumb.png.968f13fd405ad35e32d24f01e0aa8f9b.png

Изменено пользователем Rembo111
1
Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\update.exe','');
 DeleteService('Windows Update');
 DeleteFile('C:\ProgramData\Microsoft\update.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте по ссылке файл и разархивируйте.

Запустите каждый файл и подтвердите внесение информации в реестр.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [493568 2023-12-04] (Microsoft Windows -> Microsoft Corporation) -> get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
Task: {9C07DB9A-2DFB-42F4-85FB-ED4F817B9804} - System32\Tasks\Восстановление сервиса обновлений Яндекс Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.1.928\service_update.exe  --repair (Нет файла)
Task: {6EC16D90-B231-44C3-82A9-2697CFF871F4} - System32\Tasks\Обновление Браузера Яндекс => C:\Users\cocoJambo\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --background-update --noerrdialogs (Нет файла)
Task: {72D25CFB-3C8E-4A54-9F72-C426C5C895C1} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.1.928\service_update.exe  --run-as-launcher (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR DefaultSearchURL: Default -> hxxp://searchtds.com/?q={searchTerms}
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S4 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-12-04] (Microsoft Windows -> Microsoft Corporation)
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9012]
FirewallRules: [{3526CA25-BEC5-42AB-AA9C-E6D071BCAEDE}] => (Allow) C:\Users\cocoJambo\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [{E642D30B-9236-47BC-AE20-BF631110155F}] => (Allow) C:\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{4A73428C-7DAF-40F8-BD5D-498A48CA9D96}] => (Allow) C:\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{5E0E2B2A-2C99-46E9-8DAA-63117A32B655}] => (Allow) E:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла
FirewallRules: [{C3411542-C7C3-4D36-B7CB-8165A1A2037B}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{29E7E069-1174-4666-9F5F-8D80DF6B7529}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{189BA0A6-D6DC-467E-B33E-1FDF38E95D59}C:\program files\obs-studio\bin\64bit\obs64.exe] => (Allow) C:\program files\obs-studio\bin\64bit\obs64.exe => Нет файла
FirewallRules: [UDP Query User{F0C457AE-FA21-4A2F-B5BD-6D8E16FE7CE5}C:\program files\obs-studio\bin\64bit\obs64.exe] => (Allow) C:\program files\obs-studio\bin\64bit\obs64.exe => Нет файла
FirewallRules: [{E46EF220-01B2-4F94-AC91-D593C2F264EB}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{4AD388D4-96AB-4139-9113-EBADB8770416}] => (Allow) C:\Users\cocoJambo\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{D1F41BDC-F7B9-47D6-9C7C-EF95793574A0}] => (Allow) C:\Users\cocoJambo\AppData\Local\GameCenter\GameCenter.exe => Нет файла
FirewallRules: [{4DD3F0F9-C927-4317-AE99-260ED1D8C0D1}] => (Allow) C:\Users\cocoJambo\AppData\Local\GameCenter\GameCenter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
    • CzarOfScripts
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
×
×
  • Создать...