Вирус троян updater.exe infected with Trojan.Siggen29.46190

[Tetis]

Здравствуйте. Винда 10,  антивирус 360 Total Security, каким то образом у меня появился браузер 360 от этого китайского антивируса, примерно 10 дней назад. 14.10.24  появилась программа WPS office. Появились сами. Решил удалить WPS office, но их небыло в списках программ. Удалил с Revo Uninstaller. Перестал работать microsoft office, файлы не открывались. Я скачал 3 варианта microsoft office 2013 в интернете, все пробовал установить, получилось только с 1. Также скачивал прогру для подбора ключа, в итоге подобрал, но потом он слетел. Офис заработал. Комп стал медленее работать, постоянно на максимум вентилятор, греется, жесткий диск крутит . Включил сегодня антивирус, обнаружил вирус updater.exe infected with Trojan.Siggen29.46190, он его удаляет, а вирус постоянно снова появляется в папке C:\ProgramData\Google\Chrome\updater.exe , появляются окна что троян, нажимаю удалить... и так бескнечно, каждые 5 сек. появляется окно антивируса с трояном, я нажимаю удалить.  Dr.Web CureIt ничего не находит, скачал Eset Online Scanner и указал проверку диска С, он нашел вирусы, сейчас процесс проверки пока пишу. CollectionLog-2024.10.20-21.33.zip Что делать, подскажите пожалуйста.

 

[Tetis]

Я не правильно название трояна указал. Правильно троян: Win64/Miner.Coinminer.HgEAThUA

[thyrex]

Здравствуйте.

 

Вы бы еще больше антивирусных решений себе установили, вдруг бы кто из них и справился с вирусом в перерывах борьбы за ресурсы системы с конкурентами.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
 DeleteService('GoogleUpdateTaskMachineQC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Tetis]

В папке Autologger  у меня нет AVZ, но есть AV. Я запускал AV, вставил код, нажал запустить, но ничего не происходит и выдает ошибку.  в скрине

Антивирус нашел новые вирусы:

Тип:
Trojan.Win64.CoinMiner.AK находится в C:\ProgramData\Google\Chrome\updater.exe
a variant of Win64/Kryptik.EDF trojan находится в C:\\$Recycle.Bin\S-1-5-21-6818567-1627146715-3481277886-1001\$RS68HKY.exe
a variant of Win64/Kryptik.EDF trojan находится в C:\\$Recycle.Bin\S-1-5-21-6818567-1627146715-3481277886-1001\$RPXPRD3
a variant of Win64/Kryptik.EDF trojan находится в C:\ProgramData\Google\Chrome\updater.exe

[Tetis]

CollectionLog-2024.10.24-00.10.zip

[thyrex]

Вы сказки-то не рассказывайте

Выполните все, что я написал ранее и в нужном режиме загрузки. 

[Sandor]

@Tetis, вы скрипт сохраняйте не в docx, а в текстовый файл.

[Tetis]

Имя карантина 2024.10.24_quarantine_cdca3507e49b765ee076b04640f80d45.7z 

 

 

CollectionLog-2024.10.24-10.28.zip

[Tetis]

Старый вирус пропал который сам восстанавливался после удаления. Антивирус другие файлы нашел. 
Тип:
Win32/Trojan.Generic.HykCHX8A

Механизм проверки:
Облачный сканер 360

Путь файла:
D:\AutoLogger\AutoLogger\CheckBrowsersLNK\Check Browsers LNK.exe

Размер файла:
1.46M (1,533,256 Байты)

Версия файла:
2.2.0.42

Описание файла:
Программа для проверки ярлыков браузеров на наличие вредоносных ссылок

MD5:
6b2b3a8fddb9f1ffe310b2b404f36cac

Цифровая подпись:
Stanislav Polshyn

Срок действия цифровой подписи:
Действительно

Предложение:
Файлы, добавленные в карантин
 

Изменено 24 октября пользователем Tetis

[Sandor]

Это ложное срабатывание на утилиту, которую мы применяем в лечении. Не обращайте внимания именно на этот файл. Как видите, невнятный детект есть только у шести не самых авторитетных вендоров.

Наберитесь терпения и дождитесь ответа @thyrex, помощь предоставляется в свободное от других занятий время.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и со-храните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной систе-мой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте за-пустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Tetis]

Desktop.zip

[Tetis]

я так понимаю у меня все исправлено. потому что сейчас комп нормально стал работать. спасибо за помощь

[thyrex]

Простите, потерял тему. Отвечу сегодня ближе к вечеру.

[thyrex]

Цитата

AV: Dr.Web Security Space (Disabled - Out of date) {1F0B3F76-4795-94AD-DF9E-2678C33ACA8F}
AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}

из всего защитного ПО нужно остановиться на чем-либо одном, остальные удалить
 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-6818567-1627146715-3481277886-1001\...\Run: [YandexBrowserAutoLaunch_E4D8721153ED16418D06EAD2B4492D9A] => "C:\Users\USER\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {f3cc70fc-ae84-4614-a319-d98cf259f709} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {19EF111F-B063-4FE8-86CD-87F56137CA7D} - System32\Tasks\WpsUpdateTask_USER => C:\Users\USER\AppData\Local\Kingsoft\WPS Office\12.2.0.16731\office6\wpsupdate.exe  -from=task (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`29hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:C6070AC3 [332]
AlternateDataStreams: C:\Users\USER\Desktop\FRST64.exe:MBAM.Zone.Identifier [193]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.