Нашел майнер на компьютере

[egor536457253453]

Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

CollectionLog-2025.02.04-10.10.zip

[thyrex]

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10809 (disabled)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[egor536457253453]

Новые логи: CollectionLog-2025.02.04-11.01.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[egor536457253453]

Файлы : Downloads.rar

Addition.txt FRST.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-812325539-969442074-2902555940-1000\...\Run: [YandexBrowserAutoLaunch_359E43767C1BFDADFAAB676785A1E526] => "C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1F91FD16-A4CF-42CC-AD64-0C028702D2FF} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {EC919C76-0A8F-4777-BFC3-BE1DE2155F0B} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
Task: {E5FA83C0-DA57-4E1A-B732-0AF470A8DBB2} - System32\Tasks\CLToast => "C:\Program Files (x86)\CyberLink\Shared files\CLToast.exe"  -UpdateSchedule (Нет файла)
Task: {BE515AD2-B439-4DBA-8C01-81858C3BD6FD} - System32\Tasks\CLToastRun => "C:\Program Files (x86)\CyberLink\Shared files\CLToast.exe"  -UpdateScheduleRun (Нет файла)
Task: {200652F3-A331-45BA-B07E-FDC7AB6DFB3E} - System32\Tasks\Launch Adobe CCXProcess => "C:\Program Files\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe"  (Нет файла)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {B20BBCC4-1908-432F-BB14-8AE2B3D9E90C} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {62F5A74D-0B8C-4EDC-B572-52A2FABF03EE} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {7D2C7CA7-4014-41A5-B137-4DA6ACCDECA8} - System32\Tasks\PowerDirectorStyleAgent => C:\Program Files (x86)\CyberLink\Shared files\PDStyleAgent\PDStyleAgent.exe  (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-01-24 10:08 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
CustomCLSID: HKU\S-1-5-21-812325539-969442074-2902555940-1000_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe (VOICEMOD, INC. SUCURSAL EN ESPAÑA -> Voicemod)
CustomCLSID: HKU\S-1-5-21-812325539-969442074-2902555940-1000_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8716]
FirewallRules: [UDP Query User{F80D44EA-05F1-4AEB-A582-A662D450C394}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{A2330F3C-CC6E-48C6-A6E2-D22569F40E47}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{E00DCC3B-ABCD-4736-B853-5DEF6A4641F6}C:\excellent\excellent\java\bin\java.exe] => (Allow) C:\excellent\excellent\java\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{7A75E169-6959-4B93-8F16-47D47BC37C16}C:\excellent\excellent\java\bin\java.exe] => (Allow) C:\excellent\excellent\java\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{3249E25F-BC94-44FF-8A21-5FC3AF21EF33}C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe] => (Allow) C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe => Нет файла
FirewallRules: [TCP Query User{09EE06C4-2EC0-4D6F-839E-2F4470D6F795}C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe] => (Allow) C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe => Нет файла
FirewallRules: [UDP Query User{3404B33B-54CE-4B29-B1EA-AC33CD7284EA}C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe => Нет файла
FirewallRules: [TCP Query User{CD5C758C-8951-48D2-86D9-0A8BE2761376}C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe => Нет файла
FirewallRules: [{31DA1927-DED4-43BF-83E2-2C224770F4CE}] => (Allow) C:\program files (x86)\wondershare\drfone\drfonetoolkit.exe => Нет файла
FirewallRules: [{998E7F32-2E8A-4FF7-9BA0-D479684ED670}] => (Allow) C:\Users\user\Downloads\4ukey-for-android_11726255564164141901.exe => Нет файла
FirewallRules: [{84EF7BB4-8C5D-4E56-876C-6404FB0AB9BE}] => (Allow) C:\Users\user\Downloads\4ukey-for-android_11726255564164141901.exe => Нет файла
FirewallRules: [UDP Query User{4DE193B3-6CB2-4DE0-BC43-9B06639284B9}C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe => Нет файла
FirewallRules: [TCP Query User{609E422B-6111-49DB-8B70-1B674A03903C}C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe => Нет файла
FirewallRules: [UDP Query User{1DA8C17A-8969-4C1E-A437-C150EEEEC5B0}C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe] => (Allow) C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe => Нет файла
FirewallRules: [TCP Query User{8BBD8716-A84B-4E79-9DB3-3532BDB81192}C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe] => (Allow) C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe => Нет файла
FirewallRules: [UDP Query User{C8E0881C-4C83-44E2-A326-08187B9ECE8E}C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{B055BE49-709A-4D43-9945-01D67973614B}C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7176DD53-47A7-4C55-BD3B-754139CB2914}D:\zona downloads\portable spotify\app\spotify\spotify.exe] => (Allow) D:\zona downloads\portable spotify\app\spotify\spotify.exe => Нет файла
FirewallRules: [TCP Query User{E4C8AFCB-EFFB-4606-8CF5-F51ADD386ED6}D:\zona downloads\portable spotify\app\spotify\spotify.exe] => (Allow) D:\zona downloads\portable spotify\app\spotify\spotify.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[egor536457253453]

Файл:

Fixlog.txt

[thyrex]

Проблема решена?

[egor536457253453]

Нет просто мне нужно было на работу вот данный файл Fixlog.txt извините за ожидание

 

Изменено 14 часов назад пользователем egor536457253453

[thyrex]

Нет - это значит не решена? Майнера уже быть не должно.

[egor536457253453]

Значит нету, спасибо большое за помощь в его удалении!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.