Перейти к содержанию

[РЕШЕНО] Вирус Майнер Google Update Task Machine QC


Рекомендуемые сообщения

Опубликовано

Привет вчера cpu постоянно было на 60% загружено . Провел скан увидел что Google Update Task Machine QC это биткоин майнер.

 

Попытался удалить что-то сделать.

 

Пожалуйста проверьте удалилось ли всё и есть ли всё еще майнер?

 

Спасибо

 

CollectionLog-2024.09.13-03.17.zip

Вот как было до удаления 

Malwarebytes Scan Report 2024-09-12 194805.txt Addition.txt FRST.txt

Опубликовано

Здравствуйте!

 

Майнера нет, но во время своей установки в систему он ломает некоторые службы. Попробуем исправить.

 

Деинсталлируйте бесполезный SUPERAntiSpyware, также, как и нежелательную Unchecky v1.2

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [DisableWindowsUpdateAccess] 1
    HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
    S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
    AlternateDataStreams: C:\ProgramData\ASUS.jpg:F442A5E8C8 [6002]
    AlternateDataStreams: C:\ProgramData\autobk.inc:8AC1BB86DF [6002]
    AlternateDataStreams: C:\ProgramData\BlueStacksServicesSetup.exe:D94DD88F37 [6002]
    AlternateDataStreams: C:\ProgramData\catcache3.bin:0C23A85016 [6002]
    AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [6002]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [6002]
    AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [6002]
    AlternateDataStreams: C:\ProgramData\unins000.exe:5FA9ECDA59 [5146]
    AlternateDataStreams: C:\ProgramData\unins000.exe:8A5F68F8C0 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2020.lnk:C705C23FF2 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom Classic CC.lnk:BA99D4170B [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2017.lnk:8421170AC1 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro CC 2017.lnk:B37E45B570 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EVERYWHERE Launcher.lnk:8FAE7C5985 [6002]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5146]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.10.20.lnk:517F953EB5 [4298]
    AlternateDataStreams: C:\Users\Asus\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Asus\Downloads\mb-support-1.9.12.1020.exe:MBAM.Zone.Identifier [204]
    AlternateDataStreams: C:\Users\Asus\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
    FirewallRules: [{E8AF6177-05A3-4BBD-8F06-999AFE326599}] => (Allow) LPort=8090
    FirewallRules: [{AD1823F2-8392-4D0F-9C8A-10B6B95065D0}] => (Allow) LPort=20443
    FirewallRules: [{540DFFB3-931E-4FFD-9F83-70CCF7AFE707}] => (Allow) LPort=33333
    FirewallRules: [{83B1EA18-A87A-49D1-B6ED-64814CE40BCE}] => (Allow) LPort=6881
    FirewallRules: [{5BE484E1-C8AF-4B2C-B9DD-D205484531A9}] => (Allow) LPort=27022
    FirewallRules: [{30154764-C2B5-4B90-BF61-D0EF69191FB5}] => (Allow) LPort=7853
    FirewallRules: [{E10B0482-EF1C-4F9A-9DE8-28432ABA11DF}] => (Allow) LPort=7852
    FirewallRules: [{DCB94C6C-9159-4591-AFEC-20C4BEFBEEE8}] => (Allow) LPort=7850
    FirewallRules: [{BD56E978-CBB2-4012-BDDB-8AA128E989A3}] => (Allow) LPort=3478
    FirewallRules: [{42C8820F-15E4-45B8-B540-603B82B8AB9D}] => (Allow) LPort=20010
    FirewallRules: [{C54217FF-0B05-45C8-B8A2-22F8EEA12F8A}] => (Allow) LPort=443
    FirewallRules: [{2839D12F-E7AC-4BD3-B453-29B76CA2E6E1}] => (Allow) LPort=80
    FirewallRules: [{976945F6-42C4-4BE2-859B-71614B822DBB}] => (Allow) LPort=35474
    FirewallRules: [{36ED7175-CBEA-4686-930B-7E88F1A2C739}] => (Allow) LPort=35475
    FirewallRules: [{1A5C046D-9CDB-4145-B264-9FF291E0A1B1}] => (Allow) LPort=35476
    FirewallRules: [{B62C64AC-A737-4FFB-B688-4E6E1A3599F4}] => (Allow) LPort=36474
    Hosts:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее, скачайте этот архив.

Извлеките из него все файлы и последовательно каждый запустите. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер ещё раз.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Опубликовано

Нажмите комбинацию Win+R

Введите

services.msc

и нажмите Enter.

Найдите службу Центр обеспечения безопасности и попробуйте её запустить. Сообщите результат.

Опубликовано

Отлично.

Если проблем больше нет, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Из антивирусов оставьте что-то одно, Malwarebytes или 360.

 

Исправьте по возможности:

 

360 Total Security v.11.0.0.1083 Внимание! Скачать обновления
AMD Software v.23.7.2 Внимание! Скачать обновления
Git v.2.40.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Python 3.12.2 (64-bit) v.3.12.2150.0 Внимание! Скачать обновления
FileZilla Client 3.57.0 v.3.57.0 Внимание! Скачать обновления
WinSCP 5.17.2 v.5.17.2 Внимание! Скачать обновления
TreeSize Free V4.7 (64 bit) v.4.7 Внимание! Скачать обновления
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
GIMP 2.10.20 v.2.10.20 Внимание! Скачать обновления
FastStone Image Viewer v.7.3 Внимание! Скачать обновления
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
qBittorrent v.4.6.3 Внимание! Скачать обновления
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.8 Внимание! Скачать обновления
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
HandBrake 1.3.3 v.1.3.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.0.9 v.15.0.9 Внимание! Скачать обновления
Adobe Creative Cloud v.4.1.1.202 Внимание! Скачать обновления
Mozilla Firefox 72.0.2 (x64 uk) v.72.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
JDownloader 2 v.2.0.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На системном диске старайтесь держать свободного места не менее 20% от общего его объема. На момент сбора логов FRST там было меньше.

 

Читайте Рекомендации после удаления вредоносного ПО

Опубликовано

Спасибо вам большое. Хорошего вам дня. Мы все ценим вашу помощь

 

  • Like (+1) 1
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • shepp0
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • BMO
      Автор BMO
      FRST.zip
      При даже включенном касперском открывается браузер хром, далее кликер или что-то в этом роде начинает смотреть ютуб (без шуток). Данный браузер открыть не могу, ток закрыть и видеть в трее. При этом курсор мыши остается блокированным для меня, пока не закрою браузер.
      До установки касперского невозможно было зайти в ProgrammData
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...