[РЕШЕНО] Неизвестный вирус-майнер.

[Stone_Pickle]

Здравствуйте еще раз, как объяснили в прошлой теме один компьютер одна тема. 
Единственное подозрение у меня на C:\Program Files\Client Helper
Актуальные логи прикладываю

CollectionLog-2025.03.25-08.16.zip

[Sandor]

Здравствуйте!

 

В прошлой теме не забывайте отвечать, пожалуйста.

 

Этот файл вам известен?

Цитата

C:\Users\stone\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Text Document.bat

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('C:\Users\stone\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Text Document.bat', '');
 QuarantineFile('E:\autorun.inf', '');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('RunGame');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('E:\autorun.inf', '');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

 

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Stone_Pickle]

В прошлой теме отвечаю по мере возможности и доступа к компьютеру супруги.

Батник в автозапуске известен, написан для запуска впн
Все манипуляции выполнил, этой строчки не оказалось 
 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Актуальный лог после всех процедур прикладываю

CollectionLog-2025.03.25-09.22.zip

[Sandor]

Хорошо. Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Stone_Pickle]

36 минут назад, Sandor сказал:

Прикрепите отчеты к своему следующему сообщению.

Прикладываю

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-2185628855-3385204846-2015094840-1001] => 127.0.0.1:2080
  RemoveProxy:
  2025-03-24 20:12 - 2025-03-24 20:11 - 000316232 _____ (Gen Digital Inc.) C:\Windows\system32\avgBoot.exe
  2025-03-24 19:57 - 2025-03-24 20:39 - 000000000 ____D C:\Users\stone\AppData\Local\AVG
  2025-03-24 19:49 - 2025-03-24 20:39 - 000000000 ____D C:\Users\stone\AppData\Roaming\AVG
  2025-03-24 19:48 - 2025-03-24 20:41 - 000000000 ____D C:\ProgramData\AVG
  AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  HKU\S-1-5-21-2185628855-3385204846-2015094840-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2185628855-3385204846-2015094840-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2185628855-3385204846-2015094840-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
  HKU\S-1-5-21-2185628855-3385204846-2015094840-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
  FirewallRules: [{D4C32EA2-8DA9-488B-8F4B-37E5BCC718C0}] => (Allow) LPort=5130
  FirewallRules: [{53C33B4B-91BB-497C-A44B-D92238C01060}] => (Allow) LPort=5130
  FirewallRules: [{8DF3D958-4872-429D-83DE-4F2411876240}] => (Allow) LPort=10191
  FirewallRules: [{3A777AC3-CB14-4353-ACDC-65F9C35106F8}] => (Allow) LPort=9199
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Stone_Pickle]

1 час назад, Sandor сказал:

Прикрепите его к своему следующему сообщению.

 

Fixlog.txt

[Sandor]

Хорошо. Проблема решена?

[Stone_Pickle]

2 минуты назад, Sandor сказал:

Хорошо. Проблема решена?

Как будто бы больше не проявляется проблема, думаю можно считать решенной. Спасибо

[Sandor]

Отлично. В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Stone_Pickle]

44 минуты назад, Sandor сказал:

• Прикрепите этот файл к своему следующему сообщению.

 

Вот, пожалуйста

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
Notepad++ (64-bit x64) v.8.7.1 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20706 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft SQL Server 2012 Native Client  v.11.3.6540.0 Данная программа больше не поддерживается разработчиком.
Приложение NVIDIA 11.0.1.163 v.11.0.1.163 Внимание! Скачать обновления
AnyDesk v.ad 6.0.8 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Recuva v.1.53 Внимание! Скачать обновления
Paint.NET v.5.1.2 Внимание! Скачать обновления
Discord v.1.0.9170 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
OpenVPN 2.5.5-I602 amd64 v.2.5.028 Внимание! Скачать обновления
qBittorrent v.5.0.3 Внимание! Скачать обновления
Java 8 Update 202 (64-bit) v.8.0.2020.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Java SE Development Kit 8 Update 202 (64-bit) v.8.0.2020.8 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-23_windows-x64_bin.exe).
Adobe Acrobat (64-bit) v.24.005.20320 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox (x64 ru) v.135.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.134.0.6998.118 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Client Helper 6.1.6 v.6.1.6 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

 

Последнюю просто удалите, дополнительно сканировать не нужно. Если не получится стандартно, удалите принудительно с помощью Geek Uninstaller

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".