Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер, после удаления файл создается снова

Grotri

Автор Grotri,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

Grotri

Grotri 0

Опубликовано
Опубликовано

Поймал на свой компьютер вирус майнер который сидит вот тут C:/Program Files/Google/Chrome/updater.exe, после удаления файла запускается cmd.exe и создает файл заново (обнаружил с помощью Process Explorer)
Помогите избавиться от него пожалуйста, прогонял скан системы через Farbar Recovery Scan Tool и, кажется, там есть за что зацепиться, но fixlist своими руками делать страшновато из-за незнания как делать корректно. Прикрепил логи оттуда сюда 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 408

Опубликовано
Опубликовано

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

Выполните очистку в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перезагрузит ее. 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply

restart

после перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

Ссылка на сообщение
Поделиться на другие сайты
Grotri

Grotri 0

Опубликовано
  • Автор
Опубликовано

Вирус после этой процедуры перестал создаваться заново, я так полагаю он удален
Премного благодарен за вашу помощь, прикрепил лог и образ 

DESKTOP-VRA39M1_2024-08-14_00-48-26_v4.99.0v x64.7z 2024-08-14_00-36-47_log.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

Да, судя по логу выполнения скрипта очистка прошла успешно, шторм утих. В новом образе майнера уже нет.

 

Для профилактики:

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

+

при выполнении скрипта было такое сообщение:

(!) Обнаружен DnsPolicy, рекомендуется проверить ключ реестра: HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig
Выполнено за 442,286 сек.

сделайте, пожалуйста, экспорт данного ключа из реестра, можно через regedit

Цитата

HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig

 

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 112

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Frert
      Появилась папка на рабочем столе, без названия и не удаляется.
      От Frert
      Здравствуйте. Мне нужна помощь с тем,что после удаления офиса и скачивании пиратского с сайта из-за очень сильной необходимости  у меня появился вирус trojan win32 и hacktool win32 и на рабочем столе появилась папка без названия, которая не удаляется. Я приложил все логи после проверки. Прошу помочь мне с решение этой проблемы. Спасибо за понимание.
      CollectionLog-2024.09.06-14.40.zip
    • Василий _67
      Сильно загружен цп
      От Василий _67
      Добрый день заметил подтормаживание компьютера, при открытии диспетчера задач вижу что ЦП загружен на 70-90% потом спадает до нормальных значений.
      CollectionLog-2024.08.18-15.57.zip
    • esc.tech
      Вопрос для улучшения безопасности от зашифрованных вирусов (FUD fully undetectable)
      От esc.tech
      Здравствуйте, я бы хотел у вас спросить, когда вы добавите в свой антивирус дополнительное сканирование файлов? Так как в последнее время люди уже начинают шифровать вирусы что делает его незамеченным и ваш антивирус не замечает его. 

    • Specture
      вирус updater.exe
      От Specture
      В папке C:/ProgramData/google/chrome засел самовосстанавливающиеся вирус updater.exe, скорее всего майнер. Пытался удалить разными способами, но восстанавливается сам. Нагружает процессор, портит железо. Периодически вылетают синие экраны, предположительно тоже из за него. Как я могу его удалить?

    • notcrayzi
      Вирус google\chrome\updater.exe
      От notcrayzi
      В последнее время начал замечать,что PC начал тормозить и очень часто начали вылетать синий экран с ошибкой critical process died. Решил через время проверить на вирус с помощью Windows антивируса. Он показывал всё чисто.Но вопрос остался открытым. Решил скачать MalwareBytes. И тут показался этот жук. Он его находит и пытается удалить по пути C:\ProgrameData\Google\Chrome\updater.exe . Помогите,пожалуйста. Готов уже полностью сносить систему

      Dr.Web не помог,так же сказал,что всё чисто
       
×
×
  • Создать...