Словил майнер

[Maxim222503F]

Майнер обнаружил с помощью Dr.Web CureIt
Вероятно майнер был установлен вместе с утилитой для установки драйверов

CollectionLog-2025.01.28-20.59.zipПолучение информации...

Изменено 28 января пользователем Maxim222503F

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\public\libraries\bloodyworkshop8eru\ctfmonmwx.exe');
 QuarantineFile('c:\users\public\libraries\bloodyworkshop8eru\ctfmonmwx.exe','');
 TerminateProcessByName('c:\programdata\1b1e029b-77d9-4c0c-a365-3113348b4aee\qlruntimebroker.exe');
 QuarantineFile('c:\programdata\1b1e029b-77d9-4c0c-a365-3113348b4aee\qlruntimebroker.exe','');
 DeleteFile('c:\programdata\1b1e029b-77d9-4c0c-a365-3113348b4aee\qlruntimebroker.exe','32');
 DeleteFile('c:\users\public\libraries\bloodyworkshop8eru\ctfmonmwx.exe','32');
 DeleteSchedulerTask('2b2c6d05-75a9-4759-b027-a835b8ce8786');
 DeleteSchedulerTask('65044b11-38ac-41e3-88c6-8f6829f48e4f');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Maxim222503F]

CollectionLog-2025.01.28-21.59.zipПолучение информации...

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Maxim222503F]

Логи.rarПолучение информации...

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\a2service.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\acnamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\acnamlogonagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AnVir.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\anvir64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\anvirlauncher.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.p.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avgnt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avgsvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avguard.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AVKService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bdagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bdservicehost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\BullGuardSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ccSvcHst.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\clientcommunicationservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\cmdagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\CybereasonRansomFreeService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\DeepInstinctService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dwservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\EPConsole.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\F-Secure.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\FRST64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GDataAVK.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\HeimdalClientHost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mcshield.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mfeesp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mfetp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\n360.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\nortonsecurity.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ntrtscan.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\OpenHardwareMonitor.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\panda_url_filtering.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pavfnsvr.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pavsrv.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\pccntmon.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PSANHost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PSUAService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\regedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SAVAdminService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SAVService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SBAMSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SecureAPlus.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\shstat.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Smc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosav.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosclean.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophoshealth.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophossps.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\sophosui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\TMASOAgent.exe.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\TrustwaveService.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\V3Svc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\VirusTotalUpload.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vsserv.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\WRSA.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ZAPrivacyService.exe: [MinimumStackCommitInBytes] 1099466887
Folder: C:\ProgramData\1b1e029b-77d9-4c0c-a365-3113348b4aee
Folder: C:\ProgramData\d1155f53-addc-492f-8175-5aede2ff044c
Folder: C:\Users\Public\Libraries
2025-01-24 17:00 - 2025-01-28 21:46 - 000000000 __SHD C:\ProgramData\1b1e029b-77d9-4c0c-a365-3113348b4aee
2025-01-24 17:00 - 2025-01-28 21:41 - 000000000 __SHD C:\ProgramData\d1155f53-addc-492f-8175-5aede2ff044c
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.