Windows Defender нашел Trojan:Win64/CoinMinerlpz и он не удаляется

[TEMAAAA]

Нашел этот майнер. Он лежит в папке C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe
Удалял и помешал в карантин его антивирусом, потом вручную пытался. В итоге через секунду после удаления эта папка с exe-шником снова создавалась. Помимо это у меня каждый день появляется синий экран смерти с ошибкой VIDEO_TDR_FAILURE (nvlddmkm.sys) и постоянно в диспетчере задач запущен Хост окна консоли, который жрет 30%+ ЦП. Я проверял этот conhost.exe он лежит в папке WIndows/System32 и вроде бы не является копией. Но все ровно что-то тут не то. Надеюсь все эти проблемы связаны с майнером про который рассказал.
Прикрепляю логи.

CollectionLog-2024.06.20-14.34.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe', '');
 QuarantineFileF('C:\ProgramData\dcxegsjhaybk\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe', '64');
 DeleteService('ARWHVFRJ');
 DeleteFileMask('C:\ProgramData\dcxegsjhaybk\', '*', true);
 DeleteDirectory('C:\ProgramData\dcxegsjhaybk\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[TEMAAAA]

Вот прикрепил всё

FRST.txt Addition.txt ClearLNK-2024.06.20_15.53.02.log

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S2 ARWHVFRJ; C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe [5268288 2024-06-20] (Parallels International GmbH -> ) [Файл не подписан] <==== ВНИМАНИЕ
  2024-06-20 15:47 - 2024-06-20 15:47 - 000000000 ____D C:\ProgramData\dcxegsjhaybk
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
  AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [2594]
  AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log_backup1:C3CA1050CA [2594]
  AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [2594]
  AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Light Switch.lnk:960C5EF53A [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [2594]
  AlternateDataStreams: C:\Users\Artem\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Artem\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490]
  BHO: Нет имени -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Нет файла
  FirewallRules: [{80D65A28-80A7-48F9-8E25-D34C51DD90C3}] => (Allow) LPort=16261
  FirewallRules: [{7148CD91-1857-4171-BDB3-9F0E263892D5}] => (Allow) LPort=16261
  FirewallRules: [{2C88C7B9-1E71-4AE9-9C27-A6F08428F5EA}] => (Allow) LPort=3306
  FirewallRules: [{18329742-B3EA-435C-947F-FB8F98E9F8E1}] => (Allow) LPort=33060
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[TEMAAAA]

Fixlog.txt

[Sandor]

Ещё один скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Сообщите что с проблемой.

[TEMAAAA]

Fixlog.txt

[Sandor]

Хорошо. Проблема решена?

[TEMAAAA]

Папка с майнером удалилась наконец-то, однако после запуска пк он начинает фризить (браузер начинает занимать 100% цп). Такое длиться в течении минуты, потом спадает использование ЦП, но переодически все ровно фризит комп на долю секунды. Единственное что заметил в диспетчере задач - это то что иногда диспетчер окон рабочего стола занимает 40%+ GPU. Прикрепляю скрин

[Sandor]

Давайте ещё посмотрим отчёт Malwarebytes.

[TEMAAAA]

Плюс сейчас только что синий экран смерти вылез с ошибкой VIDEO_TRD_FAILURE (nvlddmkm.sys). Сейчас Malwarebytes попробую

 

Ошибку выдает при установке Malwarebytes. Перезагружал пк и заново пытался не помогло.

[Sandor]

Ладно, тогда оставьте его.

Сделайте полную проверку средствами KVRT.

Если будут обнаружения, отчёт из папки C:\KVRT2020_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

[TEMAAAA]

Пока KVRT сканируется, у меня Windows Defender сам нашел снова этот майнер. Не обращать внимания? раз в карантине лежит?

[Sandor]

Верно. Карантин в конце лечения будет удалён.

[TEMAAAA]

А когда KVRT закончит сканирование, что нажать нужно будет? Лечить/удалить/скопировать в карантин/нейтрализировать всё или что-то другое?