вирус UtorrentProPro грузит проц до 100%

[Гость]

после скачивания очередной игры заметил что процессор в простое стал грузиться.
если попытаться удалить папку с торрентом он скачивается заново после перезапуска винды

CollectionLog-2024.09.02-17.31.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\ProgramData\Microsoft\wsIC.vbs','');
 QuarantineFile('C:\Program Files\SteamClient\SteamClient.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteFile('C:\Program Files\SteamClient\SteamClient.exe','64');
 DeleteSchedulerTask('ICTorrent2UpdaterV1_t1725090488708');
 DeleteSchedulerTask('ICTorrent2UpdaterV2_t1725090490765');
 DeleteFile('C:\ProgramData\Microsoft\wsIC.vbs','64');
 DeleteSchedulerTask('OneDriveUpdater');
 DeleteSchedulerTask('UpdateUTorrentV4');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1725090484566');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1725090486636');
 DeleteSchedulerTask('uTorrent_v2UpdaterV5_t1724090882999');
 DeleteSchedulerTask('uTorrent_v2UpdaterV6_t1724090885051');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Гость]

quarantine.7z CollectionLog-2024.09.02-21.15.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Гость]

archive.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-210591539-1297022553-3878346844-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe -overwolfsilent (No File)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (No File)
C:\Users\artem\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jpngnclpbeldpkgfkciecohoioapfpii
2024-09-02 14:48 - 2024-09-02 18:41 - 000001902 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TorrentPro.lnk
2024-09-01 13:30 - 2024-09-01 13:30 - 000000226 _____ C:\Users\artem\TorrentProPro.dat
2024-09-01 13:30 - 2024-09-01 13:30 - 000000000 ____D C:\Users\artem\AppData\Roaming\TorrentPro
2024-08-20 13:09 - 2024-08-29 14:48 - 000000226 _____ () C:\Users\artem\uTorrentPro.dat
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2666]
HKU\S-1-5-21-210591539-1297022553-3878346844-1001\...\StartupApproved\Run: => "uTorrentPro"
HKU\S-1-5-21-210591539-1297022553-3878346844-1001\...\StartupApproved\Run: => "TorrentProPro"
FirewallRules: [TCP Query User{CBB7BF11-238F-426F-B52D-12AABEFDCF0C}C:\users\artem\appdata\local\programs\atk v hub\atk v hub.exe] => (Block) C:\users\artem\appdata\local\programs\atk v hub\atk v hub.exe => No File
FirewallRules: [UDP Query User{06D4D430-8741-46C5-B677-F035206A10BA}C:\users\artem\appdata\local\programs\atk v hub\atk v hub.exe] => (Block) C:\users\artem\appdata\local\programs\atk v hub\atk v hub.exe => No File
FirewallRules: [TCP Query User{1E6FBF67-A619-4621-8E2D-1F15D40A353B}C:\gog games\outlast\binaries\win64\olgame.exe] => (Allow) C:\gog games\outlast\binaries\win64\olgame.exe => No File
FirewallRules: [UDP Query User{CDB132F7-1B20-4D24-9849-B86DB56F557F}C:\gog games\outlast\binaries\win64\olgame.exe] => (Allow) C:\gog games\outlast\binaries\win64\olgame.exe => No File
FirewallRules: [TCP Query User{3307A622-6785-4B94-A057-E6BD86A8955A}C:\users\artem\downloads\forza.horizon.4.ultimate.edition.steam.rip-insaneramzes\forzahorizon4\forzahorizon4.exe] => (Allow) C:\users\artem\downloads\forza.horizon.4.ultimate.edition.steam.rip-insaneramzes\forzahorizon4\forzahorizon4.exe => No File
FirewallRules: [UDP Query User{369B161B-2E68-4E7F-8D68-22E5085F1166}C:\users\artem\downloads\forza.horizon.4.ultimate.edition.steam.rip-insaneramzes\forzahorizon4\forzahorizon4.exe] => (Allow) C:\users\artem\downloads\forza.horizon.4.ultimate.edition.steam.rip-insaneramzes\forzahorizon4\forzahorizon4.exe => No File
FirewallRules: [TCP Query User{FB7BB704-CA1C-487B-9D15-F01474799526}C:\program files (x86)\common files\oracle\java\javapath_target_11339390\java.exe] => (Allow) C:\program files (x86)\common files\oracle\java\javapath_target_11339390\java.exe => No File
FirewallRules: [UDP Query User{F7DF07EE-14E1-4857-91EA-AD55944C6478}C:\program files (x86)\common files\oracle\java\javapath_target_11339390\java.exe] => (Allow) C:\program files (x86)\common files\oracle\java\javapath_target_11339390\java.exe => No File
FirewallRules: [TCP Query User{7DEB0718-FEC8-4506-BEA6-1C39460C61DE}C:\users\artem\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\artem\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => No File
FirewallRules: [UDP Query User{CA32A8B5-46CD-4DD5-8F3B-0E00A863E17A}C:\users\artem\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\artem\appdata\roaming\.tlauncher\legacy\minecraft\jre\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe => No File
FirewallRules: [TCP Query User{75CA1D44-15C1-459C-BDEE-723C9361EC29}C:\users\artem\appdata\roaming\dolphin_anty\browser\310\anty.exe] => (Allow) C:\users\artem\appdata\roaming\dolphin_anty\browser\310\anty.exe => No File
FirewallRules: [UDP Query User{D1BB1C73-1F91-48CA-92C2-74A94C2FD2B2}C:\users\artem\appdata\roaming\dolphin_anty\browser\310\anty.exe] => (Allow) C:\users\artem\appdata\roaming\dolphin_anty\browser\310\anty.exe => No File
FirewallRules: [TCP Query User{365FB4A6-B721-41AF-B6B3-76317B2D572F}C:\users\artem\appdata\roaming\dolphin_anty\browser\321\anty.exe] => (Block) C:\users\artem\appdata\roaming\dolphin_anty\browser\321\anty.exe => No File
FirewallRules: [UDP Query User{5A85911A-6B0B-4A23-9AAF-C3E847D65B5A}C:\users\artem\appdata\roaming\dolphin_anty\browser\321\anty.exe] => (Block) C:\users\artem\appdata\roaming\dolphin_anty\browser\321\anty.exe => No File
FirewallRules: [TCP Query User{342DC229-D331-4B03-BA82-AF01AA73B594}C:\users\artem\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Allow) C:\users\artem\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => No File
FirewallRules: [UDP Query User{7A31FA37-F6C3-441B-89ED-3EC844B60CEC}C:\users\artem\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe] => (Allow) C:\users\artem\appdata\local\programs\com.brotorrent.torrent-client-utorrent\utorrent-v2.exe => No File
FirewallRules: [{F9FBB7A5-20E2-4E88-BCA0-6F918CB21A07}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => No File
FirewallRules: [{A0BDF417-80ED-4A85-810D-12FCABF26EF2}] => (Allow) C:\Program Files (x86)\Overwolf\0.258.0.6\OverwolfBrowser.exe => No File
FirewallRules: [TCP Query User{2C88C369-E66D-4299-91CA-0621F9497A63}C:\program files\microvirt\memuhyperv\memuhyper.exe] => (Allow) C:\program files\microvirt\memuhyperv\memuhyper.exe => No File
FirewallRules: [UDP Query User{1C238268-52AA-4DA2-A2C3-302E89C55EC0}C:\program files\microvirt\memuhyperv\memuhyper.exe] => (Allow) C:\program files\microvirt\memuhyperv\memuhyper.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Гость]

Fixlog.txt

[thyrex]

Проблема решена?

[Гость]

да 

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.