[РЕШЕНО] Подозрение на майнер

[Flawor_Swift]

Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

CollectionLog-2024.11.14-01.14.zip

[safety]

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Flawor_Swift]

LAPTOP-S3UD6P5R_2024-11-14_05-25-48_v4.99.2v x64.7z

[safety]

Эту программу с какой целью используете?

 

Цитата

Полное имя                  C:\Z\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? сервис в автозапуске Фильтр
                            
VirIT                       Trojan.Win64.Agent.FYN
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Trojan.Win64.Agent.cl
AhnLab-V3                   Trojan/Win.Generic.C5686585
McAfee                      Artemis!444FE359CA18
Fortinet                    W32/PossibleThreat
DeepInstinct                MALICIOUS
www.virustotal.com          2024-11-13 14:28 [2024-10-17]
                                                      
TimeStamp                   17.10.2024 в 07:37:24
Цифр. подпись               Отсутствует либо ее не удалось проверить                           
                            
Доп. информация             на момент обновления списка
pid = 6244                  NT AUTHORITY\СИСТЕМА
  CmdLine                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
  Процесс создан            00:40:34 [2024.11.14]
  С момента создания        04:45:30
  CPU                       0,02%
  CPU (1 core)              0,31%
  parentid = 1380           C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        61716DE8152BD3A59378A6CD11F6B07988A549D5
MD5                         444FE359CA183016B93D8BFE398D5103
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zpret
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.11.2024 в 10:32:20
                            
Образы                      EXE и DLL
WINWS.EXE                   C:\Z\BIN
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
CYGWIN1.DLL                 C:\Z\BIN
WINDIVERT.DLL               C:\Z\BIN
                            

 

 

[safety]

+

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HP\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
zoo D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
;------------------------autoscript---------------------------

delall D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDOKIEJNPIMAKEDHAJHDLCEGEPLIOAHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\HP\WINAMAX\WLAUNCHER.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\HAND2NOTE.NEWHUD
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\POKER\PACIFICPOKER\BIN\888POKER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\VIPOLE CLIENT\VIPOLELAUNCHER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Напишите по результату есть улучшения в работе системы или замеченные проблемы сохранились.

[Flawor_Swift]

Дискорд нужен для работы, позволяет обойти ограничение  

12 минут назад, safety сказал:

Эту программу с какой целью используете?

 

 

 

)

[safety]

Ясно, скрипт выполните, он не затрагивает файлы из папки C:\Z*

[Flawor_Swift]

Безопасность Windows все еще выдает черное окно на минуту, после этого подгружает меню до конца.  В остальном ноут работает бесшумнее обычного, и не разгоняется после простоя. Могу сказать, что основная проблема полностью решена, даже перевыполнена)

2024-11-14_07-19-06_log.txt

[safety]

Хорошо, сделайте дополнительно логи FRST.

Цитата

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

[Flawor_Swift]

Addition.txt FRST.txt

[safety]

Возможно окно безопасности связано с этой ошибкой

Error: (11/14/2024 07:26:09 AM) (Source: Microsoft-Windows-TPM-WMI) (EventID: 1796) (User: NT AUTHORITY)
Description: При обновлении безопасной загрузки не удалось обновить переменную безопасной загрузки с ошибкой (-2147020471 = Безопасная загрузка не включена на этом компьютере.). Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2169931

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{5d228c0c-e0be-4dc4-be4b-583b7764f7e1}] => (Allow) D:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge HKLM\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
Edge HKLM-x32\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDPlayer9
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDMultiPlayer
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[Flawor_Swift]

Теперь иконка в трее, открывающая безопасность Windows, перестала быть кликабельной 

upd. Кликабельно, но реагирует через секунд 30, проблема с медленной загрузкой окна сохранилась

Fixlog.txt

Изменено 14 ноября пользователем Flawor_Swift

[safety]

Цитата

Кликабельно, но реагирует через секунд 30 

 

Попробуйте погуглить на тему данной проблемы.

-------------

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[Flawor_Swift]

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

PuTTY release 0.79 (64-bit) v.0.79.0.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Внимание! Скачать обновления

 

7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9021 Внимание! Скачать обновления
Zoom Workplace v.6.2.6 (49050) Внимание! Скачать обновления

BitTorrent v.7.11.0.46923 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.3 Внимание! Скачать обновления

Spotify v.1.2.41.434.g39a25e2c Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.126.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

 

Изменено 14 ноября пользователем safety