Перейти к содержанию

Подозрение на вирусы, майнер


kostyan2008

Рекомендуемые сообщения

В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
Служба не ответила на запрос своевременно."
Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
Системе не удается найти указанный путь.

В автозагрузке присутствуют непонятные сервисы, включая непонятный google update

CollectionLog-2024.09.18-20.26.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте,
 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 StopService('WinDivert');
 DeleteService('GoogleUpdateTaskMachineQC');
 StopService('GoogleUpdateTaskMachineQC');
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 QuarantineFile('C:\Users\go6po\downloads\goodbyedpi-0.2.3rc1-2\goodbyedpi-0.2.3rc1\x86_64\windivert64.sys','');
 QuarantineFile('C:\Users\go6po\Downloads\goodbyedpi-0.2.3rc3-2\goodbyedpi-0.2.3rc3-2\x86_64\WinDivert64.sys','');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты

  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3481431966-1785458355-933563033-1000\...\Run: [Surfshark] => C:\Program Files (x86)\Surfshark\Surfshark.exe  (Нет файла)
    IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
    IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll
    File: C:\228\setup.exe
    File: C:\WINDOWS\System32\drivers\csc.sys
    File: C:\WINDOWS\SysWOW64\Drivers\vdmyntaz.sys
    Folder: C:\ProgramData\Outbyte
    Folder: C:\ProgramData\Google
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2021\acad.exe => Нет файла
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{3BC2EF70-3830-43FC-9009-029942FD2DCE}\InprocServer32 -> C:\Users\go6po\AppData\Local\Google\Update\1.3.36.372\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{85D8EE2F-794F-41F0-BB03-49D56A23BEF4}\InprocServer32 -> C:\Users\go6po\AppData\Local\Google\Update\1.3.36.372\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2021\acad.exe /Automation => Нет файла
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\go6po\AppData\Local\Google\Update\1.3.36.372\psuser_64.dll => Нет файла
    CustomCLSID: HKU\S-1-5-21-3481431966-1785458355-933563033-1000_Classes\CLSID\{ED0BC9DB-3CE6-49E5-9B2F-590DCEF8C016}\InprocServer32 -> C:\Users\go6po\AppData\Local\Google\Update\1.3.36.342\psuser_64.dll => Нет файла
    FirewallRules: [UDP Query User{BCCA192C-68DF-4A2C-BB1F-B7D7559DC67C}C:\users\go6po\appdata\local\discord\app-1.0.9015\discord.exe] => (Block) C:\users\go6po\appdata\local\discord\app-1.0.9015\discord.exe => Нет файла
    FirewallRules: [TCP Query User{5219D768-4A51-42DB-A75E-AB91E5FC8E76}C:\users\go6po\appdata\local\discord\app-1.0.9015\discord.exe] => (Block) C:\users\go6po\appdata\local\discord\app-1.0.9015\discord.exe => Нет файла
    FirewallRules: [UDP Query User{F4FFE700-C1A5-425B-8C33-05FD2D628A88}C:\users\go6po\appdata\local\discord\app-1.0.9012\discord.exe] => (Block) C:\users\go6po\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
    FirewallRules: [TCP Query User{AA51DF46-65AB-44AC-B71E-7C2BCBCEB3B5}C:\users\go6po\appdata\local\discord\app-1.0.9012\discord.exe] => (Block) C:\users\go6po\appdata\local\discord\app-1.0.9012\discord.exe => Нет файла
    FirewallRules: [UDP Query User{F1E5D403-E135-46C0-821F-17DCE6965B3C}C:\games\tanki\win64\worldoftanks.exe] => (Allow) C:\games\tanki\win64\worldoftanks.exe => Нет файла
    FirewallRules: [TCP Query User{4BAF8208-C8D9-4AFC-A1E5-F4549580D74C}C:\games\tanki\win64\worldoftanks.exe] => (Allow) C:\games\tanki\win64\worldoftanks.exe => Нет файла
    FirewallRules: [{71624002-6B22-4ECD-BDFB-EF10655A7203}] => (Allow) C:\Users\go6po\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
    FirewallRules: [{5847DC9C-4E37-477F-B899-76DC508DE0C4}] => (Allow) E:\Games\Steam\SteamApps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
    FirewallRules: [{2200BCCE-15D2-4038-BEBD-D67733D12BEA}] => (Allow) E:\Games\Steam\SteamApps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
    FirewallRules: [TCP Query User{43C92820-460C-4931-8A7F-673E77880476}C:\program files\epic games\eurekapublic\prison architect64.exe] => (Block) C:\program files\epic games\eurekapublic\prison architect64.exe => Нет файла
    FirewallRules: [UDP Query User{739E015D-40C8-4DFE-B8FE-564DCDDFBB05}C:\program files\epic games\eurekapublic\prison architect64.exe] => (Block) C:\program files\epic games\eurekapublic\prison architect64.exe => Нет файла
    FirewallRules: [TCP Query User{F11055E7-A8B5-46DD-A6CD-6B8CF61A9209}C:\program files\epic games\survivingtheaftermath\aftermath64.exe] => (Block) C:\program files\epic games\survivingtheaftermath\aftermath64.exe => Нет файла
    FirewallRules: [UDP Query User{5BA0028C-D1F6-4682-9F52-0C305EBCE3A9}C:\program files\epic games\survivingtheaftermath\aftermath64.exe] => (Block) C:\program files\epic games\survivingtheaftermath\aftermath64.exe => Нет файла
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Выделите следующий код:
    Start::
    CloseProcesses:
    CreateRestorePoint:
    Task: {4AE656E0-576E-4668-BA88-EE8B0301AC70} - System32\Tasks\{1C528BD9-E9A9-49C8-907C-A4D4FAC744BA} => C:\Windows\System32\pcalua.exe [88064 2024-08-16] (Microsoft Windows -> Microsoft Corporation) -> -a C:\228\setup.exe -d C:\228
    C:\ProgramData\Google\Chrome
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

  • Выделите следующий код:
    Start::
    CloseProcesses:
    CreateRestorePoint:
    S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [X] <==== ВНИМАНИЕ
    U3 idsvc; отсутствует ImagePath
    File: C:\WINDOWS\system32\Drivers\rxbsknl.sys
    File: C:\WINDOWS\System32\DRIVERS\rxfcv.sys
    Folder: C:\Program Files\PrimoCache
    End::
    
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • tkm
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • Control
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • slimy371
      От slimy371
      cureit.rar Вместе со сторонним ПО скачал вирус, произвел проверку cureit, логи прилагаю. Осталась учетная запись John и несколько папок и файлов которые невозможно удалить т.к. недостаточно прав. Помогите добить этого Джона, не хочется переустанавливать винду. Спасибо!
×
×
  • Создать...