После попытки установки обхода блокировки дискорд поймал майнер

[Denis K]

Здравствуйте,скачал обход дискорда поймал майнер,вирус.Компьютер стал тормозить,касперский выдал нахождение в google updater exe,при попытки лечений,выдало три ошибки и после пк вылетел с синим экраном.так же я не знаю но в диспетчере появился или был powershell exe.Прошу помочь и разобратся.При попытки лечения трижды с тремя ошибками синий экран во время лечения.

CollectionLog-2024.12.23-01.02.zip

[thyrex]

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page Redirect Cache] = hxxps://vvv.msn.com/ru-ru?pc=UE12&ocid=UE12DHP
R1-32 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search: [CustomizeSearch] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text=
R1-32 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search: [SearchAssistant] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms} - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text= - >
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\: [] = 8249456 (file missing)
O4 - HKLM\..\RunOnce: [be2743ab-cba8-4dbf-bdb3-9aa01f24feac] = C:\Users\Admin\AppData\Local\Temp\{a9869edb-787a-42b3-97da-80a8fe366e62}\be2743ab-cba8-4dbf-bdb3-9aa01f24feac.cmd (not signed - no company - AA6BAB552CFFEB92610F28BD23FAAFAFC2E384C7)
O4 - MountPoints2: HKCU\..\{3537dfcc-c427-11ea-a952-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{4b27cf7c-b67c-11e8-913a-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{4e635034-0610-11ea-8f2d-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{6a17c13c-c814-11ea-92ce-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{756d31d9-215d-11e9-a809-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{793e4b2b-ddb0-11e8-aa82-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{8e30b81a-6bfa-11e9-aa90-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9a803d08-fd57-11e9-9a15-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9d19de18-30f7-11e9-a1a6-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{a5acebcd-72fd-11e9-9b9a-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{a683f8c9-4a6b-11ea-aa9a-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{b5efe56e-1920-11ec-a39f-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{d1a22927-3f8d-11eb-add5-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{dabb372c-c26f-11e9-8a04-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{dff20e9e-91e8-11ea-9259-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e4f24652-d47f-11e9-a216-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e618116f-a7d1-11ee-a4d2-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e91555ed-4416-11ea-a398-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{eead7f25-053e-11ea-99f4-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{f8e0fb1f-9df8-11e8-ab3c-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{f8e0fb2a-9df8-11e8-ab3c-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\E\shell\AutoRun\command: (default) = E:\setup.exe (file missing)
O4 - MountPoints2: HKCU\..\I\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2D91715C-0113-445C-92E9-5BF431D3B2D9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CA90D94C-B066-4D82-A605-B139F216F160} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector (no xml)
O22 - Tasks: {77815455-DE73-473E-80D7-C73E2253FB74} - C:\Riot Games\League of Legends\LeagueClient.exe (file missing)
O22 - Tasks: {A2CA54CB-7E8B-4DBB-87BF-59742CF5BBE6} - C:\Riot Games\League of Legends\LeagueClient.exe (file missing)
O22 - Tasks: {BE84A1B8-50A5-4D74-BF37-A08B38C1A8E1} - C:\Users\Admin\AppData\Local\Discord\app-1.0.9171\Discord.exe (file missing)
O22 - Tasks: {E2990A42-73A4-45DB-9C69-A1D24DAD2E36} - C:\Games\The Suffering\SUFFERING.EXE (file missing)
O22 - Tasks: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe (file missing)
O22 - Tasks: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Tasks: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Tasks: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O23 - Driver S3: WinDivert - C:\Logs\sdfsdf\bin\WinDivert64.sys (file missing)
O23 - Driver S3: xhunter1 - C:\Windows\xhunter1.sys (file missing)
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Denis K]

CollectionLog-2024.12.23-17.42.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Denis K]

Desktop.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip [2016-07-28] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers1: [NTLEA_Menu] -> {2A963EEF-6970-41fa-936B-8ECDB2ED1000} => C:\Users\Admin\Desktop\NTLEA 0.92\NTLEA_Menu.DLL -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\desktop.ini:CachedTiles [480]
AlternateDataStreams: C:\Users\Admin\Application Data:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  Нет файла
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{F7F71780-6E92-4C56-ACD2-E839E0206653}] => (Allow) J:\АМАЗОНИЯ\Amazonia.exe => Нет файла
FirewallRules: [{E12B52CC-5438-4191-A468-DB9496663989}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Denis K]

Вроде сделал как вы просили,пк перезагрузился,но запуск виндовс висел минут 8-10 ,пришлось нажать кнопку принудительной перезагрузки.

Fixlog.txt

[thyrex]

Что сейчас с исходной проблемой?

[Denis K]

Вот что было у касперского ,вроде он их удалил,я перепроверил пк на вирусы и угрозы, в папке загрузки нашел файлы желтым цветом что то про дискорд. я их удалил тоже и файлы в ручную,перепроверил папку загрузки ничего не нашло, так же после полной проверки касперским пк на вирусы не нашло больше ничего.Я 1-2 дня поиспользую пк на наличие проблем и напишу тут.будут проблемы или нет.

Изменено 24 декабря, 2024 пользователем Denis K

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

[Denis K]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19596 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя включен (Уровень 3)
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
AMD Software v.21.5.2 Внимание! Скачать обновления
Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.40.33816.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33816 v.14.40.33816.0 Внимание! Скачать обновления
WinRAR 5.01 (64-разрядная) v.5.0.1.0 Внимание! Скачать обновления
Discord v.1.0.9036 Внимание! Скачать обновления
Telegram Desktop v.5.6.3 Внимание! Скачать обновления
K-Lite Mega Codec Pack 11.0.5 v.11.0.5 Внимание! Скачать обновления
VLC media player v.3.0.18 Внимание! Скачать обновления
Adobe AIR v.29.0.0.112 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Shockwave Player + Authorware Web Player v.v12.0.7.148 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

CCleaner v.4.07 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Ace Stream Media 3.1.32 v.3.1.32 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
AVG Web TuneUp v.4.3.8.566 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Game Booster v.4.2.45.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
SlimDrivers v.2.2.32705 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.8.3.3 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

На этом закончим.