[РЕШЕНО] Вирус Майнер Google Update Task Machine QC

[despairdespair1]

Привет вчера cpu постоянно было на 60% загружено . Провел скан увидел что Google Update Task Machine QC это биткоин майнер.

 

Попытался удалить что-то сделать.

 

Пожалуйста проверьте удалилось ли всё и есть ли всё еще майнер?

 

Спасибо

 

CollectionLog-2024.09.13-03.17.zip

Вот как было до удаления 

Malwarebytes Scan Report 2024-09-12 194805.txt Addition.txt FRST.txt

[Sandor]

Здравствуйте!

 

Майнера нет, но во время своей установки в систему он ломает некоторые службы. Попробуем исправить.

 

Деинсталлируйте бесполезный SUPERAntiSpyware, также, как и нежелательную Unchecky v1.2

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [DisableWindowsUpdateAccess] 1
  HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
  AlternateDataStreams: C:\ProgramData\ASUS.jpg:F442A5E8C8 [6002]
  AlternateDataStreams: C:\ProgramData\autobk.inc:8AC1BB86DF [6002]
  AlternateDataStreams: C:\ProgramData\BlueStacksServicesSetup.exe:D94DD88F37 [6002]
  AlternateDataStreams: C:\ProgramData\catcache3.bin:0C23A85016 [6002]
  AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [6002]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [6002]
  AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [6002]
  AlternateDataStreams: C:\ProgramData\unins000.exe:5FA9ECDA59 [5146]
  AlternateDataStreams: C:\ProgramData\unins000.exe:8A5F68F8C0 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2020.lnk:C705C23FF2 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom Classic CC.lnk:BA99D4170B [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2017.lnk:8421170AC1 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro CC 2017.lnk:B37E45B570 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EVERYWHERE Launcher.lnk:8FAE7C5985 [6002]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5146]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.10.20.lnk:517F953EB5 [4298]
  AlternateDataStreams: C:\Users\Asus\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Asus\Downloads\mb-support-1.9.12.1020.exe:MBAM.Zone.Identifier [204]
  AlternateDataStreams: C:\Users\Asus\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
  FirewallRules: [{E8AF6177-05A3-4BBD-8F06-999AFE326599}] => (Allow) LPort=8090
  FirewallRules: [{AD1823F2-8392-4D0F-9C8A-10B6B95065D0}] => (Allow) LPort=20443
  FirewallRules: [{540DFFB3-931E-4FFD-9F83-70CCF7AFE707}] => (Allow) LPort=33333
  FirewallRules: [{83B1EA18-A87A-49D1-B6ED-64814CE40BCE}] => (Allow) LPort=6881
  FirewallRules: [{5BE484E1-C8AF-4B2C-B9DD-D205484531A9}] => (Allow) LPort=27022
  FirewallRules: [{30154764-C2B5-4B90-BF61-D0EF69191FB5}] => (Allow) LPort=7853
  FirewallRules: [{E10B0482-EF1C-4F9A-9DE8-28432ABA11DF}] => (Allow) LPort=7852
  FirewallRules: [{DCB94C6C-9159-4591-AFEC-20C4BEFBEEE8}] => (Allow) LPort=7850
  FirewallRules: [{BD56E978-CBB2-4012-BDDB-8AA128E989A3}] => (Allow) LPort=3478
  FirewallRules: [{42C8820F-15E4-45B8-B540-603B82B8AB9D}] => (Allow) LPort=20010
  FirewallRules: [{C54217FF-0B05-45C8-B8A2-22F8EEA12F8A}] => (Allow) LPort=443
  FirewallRules: [{2839D12F-E7AC-4BD3-B453-29B76CA2E6E1}] => (Allow) LPort=80
  FirewallRules: [{976945F6-42C4-4BE2-859B-71614B822DBB}] => (Allow) LPort=35474
  FirewallRules: [{36ED7175-CBEA-4686-930B-7E88F1A2C739}] => (Allow) LPort=35475
  FirewallRules: [{1A5C046D-9CDB-4145-B264-9FF291E0A1B1}] => (Allow) LPort=35476
  FirewallRules: [{B62C64AC-A737-4FFB-B688-4E6E1A3599F4}] => (Allow) LPort=36474
  Hosts:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее, скачайте этот архив.

Извлеките из него все файлы и последовательно каждый запустите. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер ещё раз.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[despairdespair1]

Спасибо за ваше время и ваш труд. Вот Логи

Fixlog.txt FSS.txt

[Sandor]

Нажмите комбинацию Win+R

Введите

services.msc

и нажмите Enter.

Найдите службу Центр обеспечения безопасности и попробуйте её запустить. Сообщите результат.

[despairdespair1]

[Sandor]

Отлично.

Если проблем больше нет, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[despairdespair1]

SecurityCheck.txtСпасибо

[Sandor]

Из антивирусов оставьте что-то одно, Malwarebytes или 360.

 

Исправьте по возможности:

 

360 Total Security v.11.0.0.1083 Внимание! Скачать обновления
AMD Software v.23.7.2 Внимание! Скачать обновления
Git v.2.40.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Python 3.12.2 (64-bit) v.3.12.2150.0 Внимание! Скачать обновления
FileZilla Client 3.57.0 v.3.57.0 Внимание! Скачать обновления
WinSCP 5.17.2 v.5.17.2 Внимание! Скачать обновления
TreeSize Free V4.7 (64 bit) v.4.7 Внимание! Скачать обновления
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
GIMP 2.10.20 v.2.10.20 Внимание! Скачать обновления
FastStone Image Viewer v.7.3 Внимание! Скачать обновления
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
qBittorrent v.4.6.3 Внимание! Скачать обновления
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.8 Внимание! Скачать обновления
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
HandBrake 1.3.3 v.1.3.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.0.9 v.15.0.9 Внимание! Скачать обновления
Adobe Creative Cloud v.4.1.1.202 Внимание! Скачать обновления
Mozilla Firefox 72.0.2 (x64 uk) v.72.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
JDownloader 2 v.2.0.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На системном диске старайтесь держать свободного места не менее 20% от общего его объема. На момент сбора логов FRST там было меньше.

 

Читайте Рекомендации после удаления вредоносного ПО

[despairdespair1]

Спасибо вам большое. Хорошего вам дня. Мы все ценим вашу помощь

 

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".