[РЕШЕНО] Поймал майнер, после удаления файл создается снова

[Grotri]

Поймал на свой компьютер вирус майнер который сидит вот тут C:/Program Files/Google/Chrome/updater.exe, после удаления файла запускается cmd.exe и создает файл заново (обнаружил с помощью Process Explorer)
Помогите избавиться от него пожалуйста, прогонял скан системы через Farbar Recovery Scan Tool и, кажется, там есть за что зацепиться, но fixlist своими руками делать страшновато из-за незнания как делать корректно. Прикрепил логи оттуда сюда 

Addition.txt FRST.txt

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

[Grotri]

Понял вас, прикрепил логи

CollectionLog-2024.08.08-01.31.zip

[safety]

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

[Grotri]

Вот архив, жду дальнейших указаний

DESKTOP-VRA39M1_2024-08-12_22-55-05_v4.99.0v x64.7z

[safety]

Выполните очистку в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перезагрузит ее.

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply

restart

после перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

[Grotri]

Вирус после этой процедуры перестал создаваться заново, я так полагаю он удален
Премного благодарен за вашу помощь, прикрепил лог и образ 

DESKTOP-VRA39M1_2024-08-14_00-48-26_v4.99.0v x64.7z 2024-08-14_00-36-47_log.txt

[safety]

Да, судя по логу выполнения скрипта очистка прошла успешно, шторм утих. В новом образе майнера уже нет.

 

Для профилактики:

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[safety]

+

при выполнении скрипта было такое сообщение:

(!) Обнаружен DnsPolicy, рекомендуется проверить ключ реестра: HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig
Выполнено за 442,286 сек.

сделайте, пожалуйста, экспорт данного ключа из реестра, можно через regedit

Цитата

HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig

 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".