вирус updater.exe(XMRig miner)

[loner1n]

вот этого жука увидел у себя в диспетчере задач, делал проверку с Kaspersky Virus Removal Tool и Dr.Web Cureit. При удалении через касперского показывало что что то удалило, а после перезагрузки заново находило его же

FRST.txt

Изменено 10 апреля пользователем loner1n

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[loner1n]

изменил

 

[Mark D. Pearlstone]

Только что, loner1n сказал:

изменил

Прочтите по ссылке во втором сообщении темы, что от вас требуется сделать и выложить.

[loner1n]

CollectionLog-2025.04.10-19.53.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ardor\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','32');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[loner1n]

CollectionLog-2025.04.10-21.08.zip

Изменено 10 апреля пользователем loner1n

[thyrex]

22 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

[loner1n]

я прикрепил

 

[loner1n]

сейчас сделал проверку в касперском, выдало уже не 3 вируса, а 2. пропал 1 троян но второй остался, а главное остался майнер

 

[thyrex]

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
  DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
ExecuteSysClean;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.