Толи вирус толи майнер.

[Geksagent]

Доброго времени суток! Есть почти уверенность что чтото зацепил. Проц постоянно грузится на 100%. AVZ выдал вот это.

C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.O29577370#\5ff40be85157d977c5108d5c03754798\Microsoft.Office.InfoPath.CLRLoader.ni.dll >>> подозрение на Trojan-Downloader.Win32.Agent.aohf ( 01208A25 03545960 000DD8C6 001CBF3D 17920)

При том что после C:\Windows\assembly\..... найти описанный выше путь не удаётся это как? Вообщем прошу помочь понять что происходит.

 

[Geksagent]

16 минут назад, Geksagent сказал:

Доброго времени суток! Есть почти уверенность что чтото зацепил. Проц постоянно грузится на 100%. AVZ выдал вот это.

C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.O29577370#\5ff40be85157d977c5108d5c03754798\Microsoft.Office.InfoPath.CLRLoader.ni.dll >>> подозрение на Trojan-Downloader.Win32.Agent.aohf ( 01208A25 03545960 000DD8C6 001CBF3D 17920)

При том что после C:\Windows\assembly\..... найти описанный выше путь не удаётся это как? Вообщем прошу помочь понять что происходит.

 

Прикрепил логи

CollectionLog-2024.06.28-10.36.zip

[Sandor]

Здравствуйте!

 

Явных признаков заражения пока не видно.

 

5 часов назад, Geksagent сказал:

Проц постоянно грузится на 100%.

Какой процесс отъедает больше всего?

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

DAEMON Tools Lite установлена только для монтирования ISO образов? Если да, десятка это умеет самостоятельно. Можете деинсталлировать.

DriverTools 1.0 тоже удалите.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Geksagent]

Поведение перегруза процессора такое как при заражении майнером. при включении диспетчера задач 100%. Уловить что грузит сложно. Поймал даже момент что это сам диспетчер так перегружает. Иногда игры тоже нагружают но чтоб до такой степени такого буквально месяц (или меньше ) не было теперь порой даже самые простенькие игры вылетают или тормозят. Ну и браузер тоже нагружает. но как и писал выше всё постепенно падает когда включен диспетчер задач.

FRST.txt Addition.txt ClearLNK-2024.06.28_17.28.25.log

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4269059867-1218473800-2257561461-1001\...\MountPoints2: {9c2993ee-582d-11ed-8594-cc52af1779fb} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-4269059867-1218473800-2257561461-1001\...\MountPoints2: {c4152303-4e97-11ed-855b-cc52af1779fb} - "G:\setup.exe" 
  HKU\S-1-5-21-4269059867-1218473800-2257561461-1001\...\MountPoints2: {d961de9b-11de-11ed-8550-cc52af1779fb} - "H:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-4269059867-1218473800-2257561461-1001\...\MountPoints2: {e91df586-b5dd-11ec-8508-cc52af1779fb} - "E:\setup.exe" 
  HKU\S-1-5-18\...\Run: [] => [X]
  Task: {220B88CC-9CE2-47A2-8913-271380ED09AB} - \Microsoft\Windows\PLA\System\{DECE00CC-CFD3-4585-82BD-B3776207A74F}_System Diagnostics -> Нет файла <==== ВНИМАНИЕ
  Task: {235EEF2A-D131-4E43-9253-410FFEE001B1} - \Microsoft\Windows\MemoryDiagnostic\ProcessMemoryDiagnosticEvents -> Нет файла <==== ВНИМАНИЕ
  CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=813024"
  CHR DefaultSearchKeyword: Guest Profile -> cdn
  S3 458FBB7617E6CC4E; \??\C:\Users\Gennady\AppData\Local\Temp\28081B08-B9842340-E84E041D-2B2F0534\570641ea06.sys [X] <==== ВНИМАНИЕ
  2023-12-30 18:49 C:\ProgramData\RDP Wrapper
  AV: NANO Antivirus (Disabled - Up to date) {383C18DE-38FD-D1E0-3A1B-C1E952AA2037}
  AV: Malwarebytes (Disabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
  FirewallRules: [{241B03D0-5595-470D-A99A-B9AA66F0621E}] => (Allow) %ProgramFiles% (x86)\NANO Antivirus\bin\nanoav64.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Даже если самостоятельно ставили Wondershare Dr.Fone (Version 10.8.6), временно её деинсталлируйте и понаблюдайте.

[Geksagent]

Здравствуйте. Заметил что в момент включения диспетчера задач. Служба системных прерываний бешено грузит проц. И сразу всё начинает сбрасываться до приемлемых значений. Ещё был момент, индексатор службы Windows, тоже както высветился при включении диспетчера бешено нагружая проц. Вообщем фигня какаято.

Fixlog.txt

[Sandor]

Кратковременный скачок нагрузки при старте Диспетчера - нормальное явление.

Можете проверить альтернативным Process Explorer