Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирус Майнер Google Update Task Machine QC

despairdespair1

Автор despairdespair1
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

despairdespair1

despairdespair1

Опубликовано
Опубликовано

Привет вчера cpu постоянно было на 60% загружено . Провел скан увидел что Google Update Task Machine QC это биткоин майнер.

 

Попытался удалить что-то сделать.

 

Пожалуйста проверьте удалилось ли всё и есть ли всё еще майнер?

 

Спасибо

 

CollectionLog-2024.09.13-03.17.zip

Вот как было до удаления 

Malwarebytes Scan Report 2024-09-12 194805.txt Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Майнера нет, но во время своей установки в систему он ломает некоторые службы. Попробуем исправить.

 

Деинсталлируйте бесполезный SUPERAntiSpyware, также, как и нежелательную Unchecky v1.2

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [DisableWindowsUpdateAccess] 1
HKLM\...\Policies\Explorer: [NoWindowsUpdate] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
AlternateDataStreams: C:\ProgramData\ASUS.jpg:F442A5E8C8 [6002]
AlternateDataStreams: C:\ProgramData\autobk.inc:8AC1BB86DF [6002]
AlternateDataStreams: C:\ProgramData\BlueStacksServicesSetup.exe:D94DD88F37 [6002]
AlternateDataStreams: C:\ProgramData\catcache3.bin:0C23A85016 [6002]
AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [6002]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [6002]
AlternateDataStreams: C:\ProgramData\SoundToys_Problem_Log.txt:B993F13A5B [6002]
AlternateDataStreams: C:\ProgramData\unins000.exe:5FA9ECDA59 [5146]
AlternateDataStreams: C:\ProgramData\unins000.exe:8A5F68F8C0 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2020.lnk:C705C23FF2 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Creative Cloud.lnk:7661CCE9BF [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Lightroom Classic CC.lnk:BA99D4170B [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop CC 2017.lnk:8421170AC1 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro CC 2017.lnk:B37E45B570 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ahk2Exe.lnk:0676F50C01 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AkelPad.lnk:AA46B8B4B6 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audacity.lnk:09A0A90EF3 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Dash.lnk:B4B3884CBE [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoHotkey Window Spy.lnk:88F1223DAF [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EVERYWHERE Launcher.lnk:8FAE7C5985 [6002]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5146]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.10.20.lnk:517F953EB5 [4298]
AlternateDataStreams: C:\Users\Asus\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Asus\Downloads\mb-support-1.9.12.1020.exe:MBAM.Zone.Identifier [204]
AlternateDataStreams: C:\Users\Asus\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472]
FirewallRules: [{E8AF6177-05A3-4BBD-8F06-999AFE326599}] => (Allow) LPort=8090
FirewallRules: [{AD1823F2-8392-4D0F-9C8A-10B6B95065D0}] => (Allow) LPort=20443
FirewallRules: [{540DFFB3-931E-4FFD-9F83-70CCF7AFE707}] => (Allow) LPort=33333
FirewallRules: [{83B1EA18-A87A-49D1-B6ED-64814CE40BCE}] => (Allow) LPort=6881
FirewallRules: [{5BE484E1-C8AF-4B2C-B9DD-D205484531A9}] => (Allow) LPort=27022
FirewallRules: [{30154764-C2B5-4B90-BF61-D0EF69191FB5}] => (Allow) LPort=7853
FirewallRules: [{E10B0482-EF1C-4F9A-9DE8-28432ABA11DF}] => (Allow) LPort=7852
FirewallRules: [{DCB94C6C-9159-4591-AFEC-20C4BEFBEEE8}] => (Allow) LPort=7850
FirewallRules: [{BD56E978-CBB2-4012-BDDB-8AA128E989A3}] => (Allow) LPort=3478
FirewallRules: [{42C8820F-15E4-45B8-B540-603B82B8AB9D}] => (Allow) LPort=20010
FirewallRules: [{C54217FF-0B05-45C8-B8A2-22F8EEA12F8A}] => (Allow) LPort=443
FirewallRules: [{2839D12F-E7AC-4BD3-B453-29B76CA2E6E1}] => (Allow) LPort=80
FirewallRules: [{976945F6-42C4-4BE2-859B-71614B822DBB}] => (Allow) LPort=35474
FirewallRules: [{36ED7175-CBEA-4686-930B-7E88F1A2C739}] => (Allow) LPort=35475
FirewallRules: [{1A5C046D-9CDB-4145-B264-9FF291E0A1B1}] => (Allow) LPort=35476
FirewallRules: [{B62C64AC-A737-4FFB-B688-4E6E1A3599F4}] => (Allow) LPort=36474
Hosts:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Далее, скачайте этот архив.

Извлеките из него все файлы и последовательно каждый запустите. Согласитесь с внесением изменений в реестр.

Перезагрузите компьютер ещё раз.

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Sandor

Sandor

Опубликовано
Опубликовано

Нажмите комбинацию Win+R

Введите 

services.msc

и нажмите Enter.

Найдите службу Центр обеспечения безопасности и попробуйте её запустить. Сообщите результат.

Sandor

Sandor

Опубликовано
Опубликовано

Отлично.

Если проблем больше нет, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Из антивирусов оставьте что-то одно, Malwarebytes или 360.

 

Исправьте по возможности:

 

360 Total Security v.11.0.0.1083 Внимание! Скачать обновления
AMD Software v.23.7.2 Внимание! Скачать обновления
Git v.2.40.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Python 3.12.2 (64-bit) v.3.12.2150.0 Внимание! Скачать обновления
FileZilla Client 3.57.0 v.3.57.0 Внимание! Скачать обновления
WinSCP 5.17.2 v.5.17.2 Внимание! Скачать обновления
TreeSize Free V4.7 (64 bit) v.4.7 Внимание! Скачать обновления
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
GIMP 2.10.20 v.2.10.20 Внимание! Скачать обновления
FastStone Image Viewer v.7.3 Внимание! Скачать обновления
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
qBittorrent v.4.6.3 Внимание! Скачать обновления
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
VLC media player v.3.0.8 Внимание! Скачать обновления
AIMP v.v4.51.2084, 01.12.2018 Внимание! Скачать обновления
Audacity 2.3.3 v.2.3.3 Внимание! Скачать обновления
HandBrake 1.3.3 v.1.3.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.0.9 v.15.0.9 Внимание! Скачать обновления
Adobe Creative Cloud v.4.1.1.202 Внимание! Скачать обновления
Mozilla Firefox 72.0.2 (x64 uk) v.72.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.60 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
JDownloader 2 v.2.0.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На системном диске старайтесь держать свободного места не менее 20% от общего его объема. На момент сбора логов FRST там было меньше.

 

Читайте Рекомендации после удаления вредоносного ПО

despairdespair1

despairdespair1

Опубликовано
  • Автор
Опубликовано

Спасибо вам большое. Хорошего вам дня. Мы все ценим вашу помощь

 

  • Like (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • BMO
      [РЕШЕНО] Поймал вирус майнер RealtekHD\taskhost.exe (taskhostw.exe)
      Автор BMO
      FRST.zip
      При даже включенном касперском открывается браузер хром, далее кликер или что-то в этом роде начинает смотреть ютуб (без шуток). Данный браузер открыть не могу, ток закрыть и видеть в трее. При этом курсор мыши остается блокированным для меня, пока не закрою браузер.
      До установки касперского невозможно было зайти в ProgrammData
    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...