[РЕШЕНО] Подозрения на вирус/майнер

[tkm]

Система стала сильно использовать ресурсы. При проверке антивирусом был обнаружен и обезврежен один файл

CollectionLog-2025.02.28-12.50.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

WebAdvisor от McAfee

Кнопки сервисов Яндекса на панели задач

 

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O2 - HKLM\..\BHO: McAfee WebAdvisor - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll (file missing)
O2-32 - HKLM\..\BHO: McAfee WebAdvisor - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll (file missing)
O4 - MountPoints2: HKCU\..\{85b3ad5f-dc88-11ea-8d7b-8619e272c5be}\shell\AutoRun\command: (default) = D:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{85b3ada9-dc88-11ea-8d7b-8619e272c5be}\shell\AutoRun\command: (default) = D:\HiSuiteDownLoader.exe (file missing)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O9 - Button: HKLM\..\{48A61126-9A19-4C50-A214-FF08CB94995C}: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll (file missing)
O9 - Tools menu item: HKLM\..\{48A61126-9A19-4C50-A214-FF08CB94995C}: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll (file missing)
O9-32 - Button: HKLM\..\{48A61126-9A19-4C50-A214-FF08CB94995C}: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll (file missing)
O9-32 - Tools menu item: HKLM\..\{48A61126-9A19-4C50-A214-FF08CB94995C}: McAfee WebAdvisor - C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll (file missing)
O22 - Task: (damaged) C:\WINDOWS\System32\Tasks\McAfee (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee\DAD.Execute.Updates (key missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee\McAfee Auto Maintenance Task Agent (key missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee\McAfee Idle Detection Task (key missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfeeLogon (key missing)
O22 - Tasks_Migrated: \McAfee\DAD.Execute.Updates - C:\Program Files\Common Files\McAfee\DynamicAppDownloader\DADUpdater.exe (sign: 'McAfee, Inc.')
O22 - Tasks_Migrated: \McAfee\McAfee Auto Maintenance Task Agent - {ABCECA3B-EA5A-496B-A021-5C6BAB365E5C} - (no file)
O22 - Tasks_Migrated: \McAfee\McAfee DAT Built in test - C:\Program Files\Common Files\McAfee\AMContent\scanners\x86_64\datrep\1.0.9.577\mcdatrep.exe /hcmode=periodic /periodicruncount=2 (file missing)
O22 - Tasks_Migrated: \McAfee\McAfee Idle Detection Task - {ABCDCA3B-DE6B-5A7C-B132-6D7CBA63E5C5} - (no file)
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[tkm]

WebAdvisor от McAfee не удаляется:

 

 

Удалить только Кнопки сервисов Яндекса на панели задач? Как быть если мне необходим Яндекс браузер для работы?

 

Дальше не делал

[Sandor]

1 час назад, tkm сказал:

WebAdvisor от McAfee не удаляется

Удалите принудительно с помощью Geek Uninstaller

 

1 час назад, tkm сказал:

Как быть если мне необходим Яндекс браузер для работы?

Не беспокойтесь, это не сам браузер, а только кнопка на панели задач.

 

Продолжайте.

[tkm]

Добрый день!

 

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  CHR StartupUrls: Default -> "hxxp://qip.ru/?utm_source=qip2012&utm_medium=cpc&utm_campaign=qip2012_start","hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-128&v=n12521-344&t=4"
  C:\Users\tkm\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh
  C:\Users\tkm\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh
  AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

28.02.2025 в 07:57, tkm сказал:

При проверке антивирусом был обнаружен и обезврежен один файл

Если сохранился отчёт антивируса, прикрепите его тоже (или сделайте скриншот).

[tkm]

Fixlog.txt

Добрый день! 

13 часов назад, Sandor сказал:

Если сохранился отчёт антивируса, прикрепите его тоже (или сделайте скриншот).

Размер файла более 5 Mb. Что с ним можно сдедать?

 

Изменено 2 марта пользователем tkm

[Sandor]

4 часа назад, tkm сказал:

Что с ним можно сдедать?

Упаковать в архив и прикрепить.

 

Сейчас проверка антивирусом находит что-нибудь?

[tkm]

2 часа назад, Sandor сказал:

Сейчас проверка антивирусом находит что-нибудь?

У меня на постоянной основе не стоит антивирус. Хотел в т.ч. спросить совета

cureit.zip

[Sandor]

Вы не ответили на мой вопрос. Про постоянный я понял, а тот же CureIt (или KVRT) сейчас что-нибудь находит?

[tkm]

да, похоже снова нашел то же самое

cureit (2).zip

[Sandor]

02.03.2025 в 19:52, Sandor сказал:

(или KVRT)

Сделайте ещё проверку с помощью Kaspersky Virus Removal Tool и тоже сообщите результат, пожалуйста.

[tkm]

04.03.2025 в 21:50, Sandor сказал:

Сделайте ещё проверку с помощью Kaspersky Virus Removal Tool и тоже сообщите результат, пожалуйста.

Сделал. Ничего не нашлось. 

 

Мне интересно, CureIt постоянно находит один и тот же файл и удаляет его, но тот снова оживает... это нормально?

[Sandor]

Загрузите этот файл

Цитата

C:\Program Files\WindowsApps\B9ECED6F.ASUSGIFTBOX_3.2.4.0_x64__qmba6cd70vzyy\PlugIn\UpdateMessenger.exe

на www.virustotal.com

 

Ссылку на результат дайте следующим сообщением.

[tkm]

https://www.virustotal.com/gui/file/0a03e452fe3ea165c351aaf7df0f36882f1e35a4dfd72c0967baa9c8ba69d991/detection