Майнер внедрился в систему после установки обхода блокировки дискорда

[LoWiX]

Здравствуйте, недавно установил обход блокировки системы и после этого при незначительном простое ПК нагружается на сотку видеокарта, процессор. Прикрепляю логи ниже. Буду признателен если поможете.CollectionLog-2024.12.22-15.08.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\ProgramData\DirectX\graphics\directxutil.exe','');
 QuarantineFile('C:\ProgramData\Pictures_Con\Documents_1\STXService.exe','');
 TerminateProcessByName('c:\users\public\libraries\amd\opencl\sppextfileobj.exe');
 QuarantineFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\users\public\libraries\amd\opencl\sppextfileobj.exe','32');
 DeleteSchedulerTask('DirectXUtilTask');
 DeleteFile('C:\ProgramData\Pictures_Con\Documents_1\STXService.exe','64');
 DeleteSchedulerTask('TMPSYSUPD');
 DeleteSchedulerTask('WinAMDTweak');
 DeleteFile('C:\ProgramData\DirectX\graphics\directxutil.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[LoWiX]

При попытке запуска скрипта вылетает BSOD с сообщением KERNEL SECURITY CHECK FAILURE.

[thyrex]

Настройки не меняли перед запуском скрипта?

 

Попробуйте выполнить в безопасном режиме загрузки.

[LoWiX]

Настройки не менялись после запуска AutoLogger. Безопасный режим идентично вылетает BSOD. Попробуй выключить файл подкачки и запустить скрипт

 

Изменено 22 декабря, 2024 пользователем LoWiX

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[LoWiX]

Выполнил сканирование. Прикрепил архив с файлами.

frst.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe
IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
CreateRestorePoint:
File: C:\ProgramData\Pictures_Con\Documents_1\STXService.exe
File: C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe
File: c:\programdata\directx\graphics\directxutil.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {E413E37B-A7E8-4F9B-9328-47D89B7E266E} - System32\Tasks\TMPSYSUPD => C:\ProgramData\Pictures_Con\Documents_1\STXService.exe [718274560 2024-12-19] () [Файл не подписан] <==== ВНИМАНИЕ
Task: {00805723-9410-45D5-A7B4-598BAE3B5D71} - System32\Tasks\WinAMDTweak => C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe [11630592 2024-12-19] () [Файл не подписан]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2024-12-22 00:22 - 2024-12-22 00:22 - 001187374 _____ C:\Users\LoWiX\Downloads\zapret-discord-youtube-1.6.1.rar
2024-12-19 15:07 - 2024-12-19 15:07 - 000000000 ____D C:\ProgramData\DirectX
2024-12-19 15:06 - 2024-12-22 16:23 - 000003338 _____ C:\Windows\system32\Tasks\TMPSYSUPD
2024-12-19 15:06 - 2024-12-19 15:06 - 000000000 ____D C:\ProgramData\Pictures_Con
2024-12-20 15:08 - 2018-09-15 10:33 - 000000000 __RHD C:\Users\Public\Libraries
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{5C4D8D77-5B87-40CA-884E-F56858227E5C}\localserver32 -> C:\Users\LoWiX\AppData\Local\Programs\TeamSpeak\notification_helper.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-476691893-3836649916-3940698513-1001_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\LoWiX\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Windows\tracing:? [16]
FirewallRules: [TCP Query User{3FE13830-F509-4241-939A-5647E843DBD4}C:\users\lowix\appdata\local\discord\app-1.0.9166\discord.exe] => (Block) C:\users\lowix\appdata\local\discord\app-1.0.9166\discord.exe => Нет файла
FirewallRules: [UDP Query User{9BB5273E-935F-4EFA-AC84-76FC47704E5B}C:\users\lowix\appdata\local\discord\app-1.0.9166\discord.exe] => (Block) C:\users\lowix\appdata\local\discord\app-1.0.9166\discord.exe => Нет файла
FirewallRules: [{5B7F1074-2547-4559-AF55-A40F04C8FC77}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
FirewallRules: [{09002209-AF5D-48C0-987E-F70CFD543658}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\GarrysMod\hl2.exe => Нет файла
FirewallRules: [TCP Query User{4780C3F7-C5FB-4DF4-ABBF-F4623496B21A}C:\users\lowix\desktop\nekoray\nekoray.exe] => (Block) C:\users\lowix\desktop\nekoray\nekoray.exe => Нет файла
FirewallRules: [UDP Query User{6AAE024B-18F6-4818-A383-3569961D8035}C:\users\lowix\desktop\nekoray\nekoray.exe] => (Block) C:\users\lowix\desktop\nekoray\nekoray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[LoWiX]

Вот

 

Fixlog.txt

Изменено 22 декабря, 2024 пользователем LoWiX

[thyrex]

Проблема решена?

[LoWiX]

Не уверен, но в GPU-Z в простое компьютер не нагружается на сотку. Скорее всего решена проблема. Большое спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[LoWiX]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Process Lasso v.15.0.1.16 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.60.0 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9166 Внимание! Скачать обновления
iTunes v.12.13.3.2 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Adobe Creative Cloud v.5.5.0.617 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
GearUP Booster v.2.19.2.310 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Wondershare Helper Compact 2.6.0 v.2.6.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

На этом закончим.