[РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским

[ARKHIPOV]

Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.

CollectionLog-2025.02.18-11.00.zipПолучение информации...

[safety]

Добавьте дополнительно отчеты из антивируса Касперского по обнаружениям вредоносного кода и сканированию. В текстовом формате. если файл получится большим, добавить его в архив без пароля.

[ARKHIPOV]

У меня к сожалению не находит больше вирус, тк он его удалил, при повторных сканированиях этого обнаружения не видит (прошу прощения, что не сохранил в самом начале обнаружения), но проблема со странным поведением сохранилась. Сейчас я на время сбора логов программой отключил брадмауэр и К, теперь они не включаются. Защита на данный момент полностью не работает.

 

На данный момент в мониторинге К пишет ошибки "Задача остановлена", "Не удалось выполнить задачу" На все возможные задачи avp.exe Вчера я просто переустанавливал К каждый раз, когда он ломался и все логи соответственно исчезали, вирус в файле GoogleUpdate.exe я снес вместе с файлом, его больше нет на ПК и обнаружить его не удается. Проверял систему так же через KVRT и так же ничего не обнаружил (не знаю как достать из него логи, но они сохранены).

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[ARKHIPOV]

ARHIP_2025-02-18_12-23-24_v4.99.8v x64.7zПолучение информации...

[safety]

Это у вас KVRT запущен?

  Цитата

C:\USERS\LOUD\APPDATA\LOCAL\TEMP\{3FA53026-616D-4254-B12A-D98B8FDF1076}\249DEEA9.EXE

Показать  

а зачем его запускаете, если установлен продукт Касперского? или он поврежден?

[ARKHIPOV]

Да, он поврежден и повреждается после каждого перезапуска системы, поэтому у меня и есть подозрение на вирус, который его рушит. Я не уверен в том, работает ли он по настоящему при таких ошибках, поэтому проверяю через KVRT. Да выполняю проверку повторно через KVRT.

Изменено 18 февраля пользователем ARKHIPOV

[safety]

Возможно он некорректно устанавливается изачально.

Пока ничего серьезного не нашел в образе.

 

По  очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.8v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\TEMP\{3FA53026-616D-4254-B12A-D98B8FDF1076}\\249DEEA9.EXE
apply

regt 27
; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

deltmp
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\..\PERFORMANCE PROFILE CLIENT\AUEPDU.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\UNINSTALL\HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {D9872D13-7651-4471-9EEE-F0A00218BEBB}\[CLSID]
delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVSPLITTER.AX
delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVAUDIO.AX
delref D:\AIVOICE\UNICTOOL MAGICVOX\LAVVIDEO.AX
delref %Sys32%\LSCLIENTSERVICE.DLL
delref %Sys32%\NETMGMT.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\GOOGLESYSTEM\GOOGLEUPDATER\GOOGLEUPDATERTASKSYSTEM134.0.6985.0{17D54F46-32A9-465C-BE66-99B66C756E3D}
delref %Sys32%\TASKS\MOZILLA\FIREFOX BACKGROUND UPDATE 308046B0AF4A39CB
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\DEFAULT-BROWSER-AGENT.EXE
delref %Sys32%\TASKS\MOZILLA\FIREFOX DEFAULT BROWSER AGENT 308046B0AF4A39CB
delref %Sys32%\TASKS\MOZILLA\FIREFOX BACKGROUND UPDATE S-1-5-21-325898883-2547035485-1600302195-1001 308046B0AF4A39CB
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\AMDACPKSL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\TPCOMMON\CIPOLLA\SBACIPOLLASRVHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CHECKPOINT\ENDPOINT SECURITY\ENDPOINT COMMON\BIN\ISWKL.SYS
delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %Sys32%\DRIVERS\VBAUDIO_CABLE64_WIN7.SYS
delref %Sys32%\DRIVERS\VDTCTOQK.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\81.0.4044.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.85\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.1.1138\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LOUD\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.7.0.899\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref E:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\STEINBERG\CUBASE LE AI ELEMENTS 8\CUBASE LE AI ELEMENTS 8.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PRIVATE_BROWSING.EXE
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\LAUNCHERPATCHER.EXE
delref D:\BIN\PAINKILLER.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

[ARKHIPOV]

2025-02-18_12-59-59_log.txtПолучение информации... FRST.txtПолучение информации...

Addition.txtПолучение информации...

 

Нужно ли мне восстановить работу служб, связанных с гуглом? GoogleUpdaterService134...., GoogleUpdaterInternalService134... GoogleChromeElevationService134...., gupdate, gupdatem?

 

Если как-то поможет вирус сидел по этому пути: C:\WINDOWS\SYSTEM32\TASKS\GoogleSystem\GoogleUpdater\    К обнаружил его именно там

Изменено 18 февраля пользователем ARKHIPOV

[safety]

вот эта запись подозрительна:

safeboot: Minimal => Система настроена на загрузку в Безопасном Режиме. <==== ВНИМАНИЕ

Проверьте в строке "запустить" через msconfig не настроена ли система на загрузку в безопасном режиме?

 

[ARKHIPOV]

Удалось связаться с Поддержкой Касперского, решением исправления программы стала установка версии KasperskyPlus, как выяснилось старый установщик неактуален более (По крайней мере так выразился сам оператор поддержки). Установил KasperskyPlus, Перезагрузил ПК, защита не упала, все работает. Запустил полную проверку, как завершится проверка приложу сюда логи.

По поводу записи: Проверил, галочка на "Безопасный режим" не стоит

[safety]

Хорошо, ждем результат проверки.

[ARKHIPOV]

Результат проверки: 

КасперскийОтчет.rarПолучение информации...

Ничего не обнаружено, кажется все спокойно теперь, но пока не понимаю возвращать ли службы гуглапдейт или с ними может вернуться вирус?

[safety]

Заражение было скорее всего updater.exe, который размещается в папке Chrome. К работе и обновлению Chrome он не имеет отношение.

Этот updater.exe может запускаться либо через службу, либо через задачу. В логах не было задачи и службы, связанных с updater.exe.

 

Если других проблем  в работе системы на ПК не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 19 февраля пользователем safety

[ARKHIPOV]

SecurityCheck.txtПолучение информации...

Вот, в логах нашло ZoneAlarm Antivirus v.15.8.211.19229 и Check Point SBA v.86.6.8560, я не знаю как их снести, кажется установились когда-то сами с какой то утилитой для разгона, точно не помню. С тех пор я утилитами разгона не пользовался.

 

Есть 1 вопрос, касаемо программы Check Point, я не помню для чего ее ставил (кажется по ошибке), но снести ее не получается совсем, некоторые файлы программы чем-то защищены.