[РЕШЕНО] Словил какой то майнер

[Taboo]

34 минуты назад, thyrex сказал:

Лог сохраняется в папке, откуда запускали AVBR. Пришлите его.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

В папке откуда запускал AVBR не нашел логов созданных (скрин приложил, скачивал версию с рандомным именем), когда его запустил от сразу включился без распаковок.

 

При фиксе HiJackThis - выскочило окно с ошибкой. (скрин прикрепил)

 

Логи от Farbar'a - прикрепил.

FRST.rar

[thyrex]

42 минуты назад, Taboo сказал:

При фиксе HiJackThis - выскочило окно с ошибкой. (скрин прикрепил)

Потому что Вы пытаетесь запихнуть его в AVZ, а не выполнить фикс в HiJackThis. Там по одной ссылке две разных инструкции.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
Task: {05D89A2C-369F-4A6E-A39F-F9DA76DB02B4} - \dialersvc64 -> Нет файла <==== ВНИМАНИЕ
Task: {156B9FA9-F303-4DD8-BF1C-882B8FD2A2A9} - \Microsoft\Windows\WindowsBackup\FilesBackUP -> Нет файла <==== ВНИМАНИЕ
Task: {16841BAC-4D74-43DA-912A-4BAA6D901AB2} - \Microsoft\Windows\FilesystemD\lQcK3t -> Нет файла <==== ВНИМАНИЕ
Task: {7B48A364-F13A-4DE7-8298-FC871BD9134D} - \Microsoft\Windows\WindowsBackup\ServiceManager -> Нет файла <==== ВНИМАНИЕ
Task: {95B3C27A-8716-4E8C-8EB2-EEE7CD544A7D} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {97DA5A9F-3818-43DE-9678-C1620403060E} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
AutoConfigURL: [{29C42F3A-2B74-4226-B116-14E5DB72EFD4}] => hxxp://127.0.0.1:10812/pac?t=638699105186501831 <==== ВНИМАНИЕ
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\svchost.exe [57528 2024-05-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 wuauserv_bkp; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
AlternateDataStreams: C:\Users\vanek\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\vanek\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{3404DF9F-ADEF-4760-8974-F65A17FFCC59}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Taboo]

28 минут назад, thyrex сказал:

Потому что Вы пытаетесь запихнуть его в AVZ, а не выполнить фикс в HiJackThis. Там по одной ссылке две разных инструкции.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
Task: {05D89A2C-369F-4A6E-A39F-F9DA76DB02B4} - \dialersvc64 -> Нет файла <==== ВНИМАНИЕ
Task: {156B9FA9-F303-4DD8-BF1C-882B8FD2A2A9} - \Microsoft\Windows\WindowsBackup\FilesBackUP -> Нет файла <==== ВНИМАНИЕ
Task: {16841BAC-4D74-43DA-912A-4BAA6D901AB2} - \Microsoft\Windows\FilesystemD\lQcK3t -> Нет файла <==== ВНИМАНИЕ
Task: {7B48A364-F13A-4DE7-8298-FC871BD9134D} - \Microsoft\Windows\WindowsBackup\ServiceManager -> Нет файла <==== ВНИМАНИЕ
Task: {95B3C27A-8716-4E8C-8EB2-EEE7CD544A7D} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {97DA5A9F-3818-43DE-9678-C1620403060E} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
AutoConfigURL: [{29C42F3A-2B74-4226-B116-14E5DB72EFD4}] => hxxp://127.0.0.1:10812/pac?t=638699105186501831 <==== ВНИМАНИЕ
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-08-20] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\svchost.exe [57528 2024-05-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 wuauserv_bkp; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
AlternateDataStreams: C:\Users\vanek\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\vanek\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{3404DF9F-ADEF-4760-8974-F65A17FFCC59}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Да, действительно моя ошибка, не внимательно читал.

 

Фикс ХитДжеком сделал.

Реестр данными дополнил.

Лог от Farbar'a во вложении.

Fixlog.txt

[thyrex]

Проблема решена?

[Taboo]

Только что, thyrex сказал:

Проблема решена?

Вроде да, надеюсь. Греется и шумит ноут меньше, сайты открываются все, программы запускаются то же. Curelt заражений не показал.

Даже Центр Обновления открылся, надеюсь после обновления все будет ОК.

 

Большое спасибо! Весьма признателен за помощь!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Taboo]

14 часов назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

 

 

Лог во вложении.

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
ASUS Live Update v.3.6.15 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
Microsoft OneDrive v.25.005.0112.0003 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
WinRAR 6.24 (32-разрядная) v.6.24.0 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления
iTunes v.12.12.9.4 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Google Chrome v.132.0.6834.160 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.132.0.2957.140 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.2.8 v.3.2.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[Taboo]

4 часа назад, thyrex сказал:

По возможности исправьте:

 

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33135 v.14.38.33135.0 Внимание! Скачать обновления
ASUS Live Update v.3.6.15 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
Microsoft OneDrive v.25.005.0112.0003 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
WinRAR 6.24 (32-разрядная) v.6.24.0 Внимание! Скачать обновления
VLC media player v.3.0.20 Внимание! Скачать обновления
iTunes v.12.12.9.4 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Google Chrome v.132.0.6834.160 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.132.0.2957.140 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Ace Stream Media 3.2.8 v.3.2.8 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

Обновления произвел, кроме OneDrive, в силу того что им не пользуюсь.

 

Какие рекомендации и нюансы мне необходимы для деинсталляции и сканировании касательно программы - Ace Stream Media, в этой ветке я могу получить консультацию или мне необходимо перейти в другой раздел?

 

[thyrex]

Просто деинсталлируйте. Можно обойтись без сканирования.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".