Вирус uTorrent.pro грузит процессор

[Maksim28]

Здравствуйте, столкнулся с проблемой в виде майнера на своем компьютере. Скачивал игру с интернета, но видимо поймал вирус. В диспетчере задач процесс uTorrent.pro бывает грузит процессор на 100 процентов. Пробовал использовать антивирусы, но не помогает. После перезагрузки компьютера, он снова появляется.
CollectionLog-2024.09.02-19.05.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\TorrentProPro\TorrentProPro.exe','');
 QuarantineFile('C:\Program Files\SteamUpdate\SteamUpdate.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteFile('C:\Program Files\TorrentProPro\TorrentProPro.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentProPro','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qBittorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteFile('C:\Program Files\SteamUpdate\SteamUpdate.exe','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('ICTorrent2UpdaterV1_t1725291891234');
 DeleteSchedulerTask('ICTorrent2UpdaterV2_t1725291893303');
 DeleteSchedulerTask('qBittorrentProUpdaterV5_t1724893281672');
 DeleteSchedulerTask('qBittorrentProUpdaterV6_t1724893283734');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1725291887099');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1725291889160');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','qBittorrentPro','x32');
 DeleteFile('C:\Program Files\TorrentProPro\TorrentProPro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','TorrentProPro','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Maksim28]

CollectionLog-2024.09.02-23.07.zip
вот логи. Я сделал все что вы описали выше

 

Изменено 2 сентября, 2024 пользователем Maksim28

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Maksim28]

Logs.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Folder: C:\Users\wirnf\ex-list
Folder: C:\Users\wirnf\AppData\Roaming\SteamUpdate
Folder: C:\Program Files\SteamUpdate
Folder: C:\Users\wirnf\AppData\Roaming\com.gtoppocket.launcher
Folder: C:\Users\wirnf\AppData\Local\steamupdate-updater
Folder: C:\Program Files\TorrentProPro
Folder: C:\Users\wirnf\AppData\Local\torrentpro-updater
Folder: C:\Users\wirnf\AppData\Roaming\uTorrentPro
Folder: C:\Program Files\uTorrentPro
Folder: C:\Users\wirnf\AppData\Local\utorrentpro-updater
Task: {3EAD9386-EDF6-405D-9EAC-D6050F91731D} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
C:\Users\wirnf\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\apcodfccooidedmjebgghhimdpliokcc
C:\Users\wirnf\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gmgoamodcdcjnbaobigkjelfplakmdhh
C:\Users\wirnf\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\lppfibcefpokkaojnhhapmbffnadkjpb
2024-09-02 18:58 - 2024-09-02 22:50 - 000000000 ____D C:\Program Files\TorrentProPro
2024-09-02 18:58 - 2024-09-02 19:30 - 000001902 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TorrentPro.lnk
2024-09-02 18:58 - 2024-09-02 18:58 - 000000000 ____D C:\Users\wirnf\AppData\Local\torrentpro-updater
2024-09-02 18:45 - 2024-09-02 18:45 - 000000226 _____ C:\Users\wirnf\uTorrentPro.dat
2024-09-02 18:45 - 2024-09-02 18:45 - 000000000 ____D C:\Users\wirnf\AppData\Roaming\uTorrentPro
2024-09-02 18:44 - 2024-09-02 18:45 - 000000000 ____D C:\Program Files\uTorrentPro
2024-09-02 18:44 - 2024-09-02 18:44 - 000000000 ____D C:\Users\wirnf\AppData\Local\utorrentpro-updater
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{e1f70a0f-64ba-11ef-b861-503eaad2135a}.TM.blf:5CF6B84373 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{e1f70a0f-64ba-11ef-b861-503eaad2135a}.TMContainer00000000000000000001.regtrans-ms:7506EC3B78 [3442]
AlternateDataStreams: C:\ProgramData\ntuser.dat{e1f70a0f-64ba-11ef-b861-503eaad2135a}.TMContainer00000000000000000002.regtrans-ms:BBC3319B76 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2021.lnk:421F4811F0 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TorrentPro.lnk:4F80D2649E [3442]
HKU\S-1-5-21-1871029896-2059063165-3605776740-1001\...\StartupApproved\Run: => "qBittorrentPro"
HKU\S-1-5-21-1871029896-2059063165-3605776740-1001\...\StartupApproved\Run: => "TorrentProPro"
HKU\S-1-5-21-1871029896-2059063165-3605776740-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [TCP Query User{5550F72D-E90D-4757-802D-28699800C329}C:\games\mmvcserversio\mmvcserversio.exe] => (Allow) C:\games\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [UDP Query User{D569CAEC-C8A4-4C4F-9A22-FAD1C41918D7}C:\games\mmvcserversio\mmvcserversio.exe] => (Allow) C:\games\mmvcserversio\mmvcserversio.exe => Нет файла
FirewallRules: [TCP Query User{90DF13FB-7A12-4687-ABD8-FDC28FEA4EA4}C:\users\wirnf\downloads\lies of p\liesofp\binaries\win64\lop-win64-test.exe] => (Block) C:\users\wirnf\downloads\lies of p\liesofp\binaries\win64\lop-win64-test.exe => Нет файла
FirewallRules: [UDP Query User{FA22A05B-4CCB-4EAD-9EA5-6832E514B274}C:\users\wirnf\downloads\lies of p\liesofp\binaries\win64\lop-win64-test.exe] => (Block) C:\users\wirnf\downloads\lies of p\liesofp\binaries\win64\lop-win64-test.exe => Нет файла
FirewallRules: [TCP Query User{DDB2586C-DE40-47FA-9BC3-7AF828D4F4BB}C:\users\wirnf\appdata\local\discord\app-1.0.9159\discord.exe] => (Block) C:\users\wirnf\appdata\local\discord\app-1.0.9159\discord.exe => Нет файла
FirewallRules: [UDP Query User{91368F35-AEDD-4E71-9232-CA14D1E9091A}C:\users\wirnf\appdata\local\discord\app-1.0.9159\discord.exe] => (Block) C:\users\wirnf\appdata\local\discord\app-1.0.9159\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Maksim28]

Fixlog_03-09-2024 20.32.38.txt

[thyrex]

Проблема решена?

[Maksim28]

Да, проблема решена. Большое спасибо за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.