Подозрение на майнер в процессе dwm.exe

[EpaX]

Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
Утилиты cureIt и касперский не помогли.
Логи прилагаю. Очень надеюсь на помощь.

CollectionLog-2025.03.26-21.31.zip

[thyrex]

Здравствуйте.

 

Логи сделаны устаревшей версией Autologger. Скачайте актуальную по ссылке в правилах и соберите новые логи.

[EpaX]

Прошу прощения. Прикрепляю лог с актуальной версии Autologger.

CollectionLog-2025.03.26-23.30.zip

Изменено Среда в 20:40 пользователем EpaX

[thyrex]

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\user\AppData\Local\Temp\HotspotUpdater.exe','');
 DeleteFile('C:\Users\user\AppData\Local\Temp\HotspotUpdater.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HotspotUpdater','x32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','HotspotUpdater','x64');
 DeleteSchedulerTask('IObit B5Sale (One-time)');
 DeleteSchedulerTask('IObit DB2024B5 (One-Time)');
 DeleteSchedulerTask('MaintenanceUninstalledSystemApps');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;

ExecuteRepair(9);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[EpaX]

Разобралась. Сейчас прикреплю логи новые.
Логи прикрепила.

CollectionLog-2025.03.27-18.24.zip

Изменено Четверг в 15:24 пользователем EpaX

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[EpaX]

Готово.

FRST64.7z

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {E329901E-47F1-4027-B9EB-382F64B71187} - System32\Tasks\Microsoft\Windows\WindowsUpdate\RUXIM\PLUGScheduler => "%ProgramFiles%\RUXIM\PLUGscheduler.exe"  (Нет файла)
Task: {1C09CBD9-13CE-4843-A377-EBF2425575C6} - System32\Tasks\ModifyLinkUpdate => C:\Program Files\AMD\CIM\Bin64\InstallManagerApp.exe  -UpdateCurrentUser (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{E5D7C8C4-3932-4CC4-86F6-73C47E4E61F9}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BB5D4EE5-1DF9-46BC-A150-8C21C0CB470A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{3F0B4A81-9858-460F-99A8-CFB6E783CAD2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{8A305D46-E0CE-4C23-9640-28CD82497458}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.105.3214.0_x64__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{FDE75435-8971-4CFC-AB51-82CD6E0A7013}] => (Allow) C:\Users\user\AppData\Local\Temp\SmartFix\wget.exe => Нет файла
FirewallRules: [TCP Query User{1A428A9F-CAA3-463C-98F5-5A77A6C08454}F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [UDP Query User{C23C5EE9-54B4-417C-AA49-01D89531F8CF}F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Block) F:\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файла
FirewallRules: [{374EC8EA-B5BF-4A09-BBB0-5BD9FB506B27}] => (Allow) C:\Program Files (x86)\EaseUS\EaseUS Todo PCTrans\bin\DataChannelUI.exe => Нет файла
FirewallRules: [TCP Query User{8C5EF65D-DE89-41ED-9982-4AF02D668883}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{E0D9F27F-7F7B-4AD5-B5C2-F43C8375DBCF}C:\users\user\desktop\anydesk.exe] => (Allow) C:\users\user\desktop\anydesk.exe => Нет файла
FirewallRules: [{E352EADD-4367-48A2-8DA8-46C7547A434B}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_BE.exe => Нет файла
FirewallRules: [{0556D253-D151-432E-9B8A-FACD85B63E1D}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_BE.exe => Нет файла
FirewallRules: [{DB022591-D033-4FF3-8DC3-3D78D9E096C3}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix.exe => Нет файла
FirewallRules: [{7B9EAE6E-A5C6-40EE-9C8D-2004AC60AA19}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix.exe => Нет файла
FirewallRules: [{1E491B9A-6F41-42A4-93BA-D2B7DEC89769}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_DX11.exe => Нет файла
FirewallRules: [{7C319EB5-035E-498E-8C41-859B303AD133}] => (Allow) F:\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege RUS\RainbowSix_DX11.exe => Нет файла
FirewallRules: [{C07EBA28-0146-4BED-A4C6-3D41B231CBAC}] => (Allow) F:\Purple\2.25.305.10\cefsharp.browsersubprocess.exe => Нет файла
FirewallRules: [{B23C04FB-16D3-469C-9B3A-837C81440E5A}] => (Allow) F:\Purple\yeti\yeti_v2.1.506.2502_global\purpleon.exe => Нет файла
FirewallRules: [TCP Query User{6F743A11-4E8C-4F8D-9462-D5B0EEC247F3}F:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Block) F:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [UDP Query User{0C005BE6-E6F6-4540-8A96-DE4F52BC4C03}F:\resident.evil.4.(2023)-insaneramzes\re4.exe] => (Block) F:\resident.evil.4.(2023)-insaneramzes\re4.exe => Нет файла
FirewallRules: [TCP Query User{52828B68-EF33-4FA1-8F4C-5E8706E321D3}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{CFEE4211-5094-4493-B5FA-2E668FA2C9E8}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[EpaX]

Прикрепляю.
 

Fixlog.txt

[thyrex]

Проблема решена?

[EpaX]

Думаю да. Спасибо большое.
 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.