Перейти к содержанию

вирус updater.exe(XMRig miner)


Рекомендуемые сообщения

вот этого жука увидел у себя в диспетчере задач, делал проверку с Kaspersky Virus Removal Tool и Dr.Web Cureit. При удалении через касперского показывало что что то удалило, а после перезагрузки заново находило его же

image.png

FRST.txt

Изменено пользователем loner1n
Ссылка на комментарий
Поделиться на другие сайты

Только что, loner1n сказал:

изменил

Прочтите по ссылке во втором сообщении темы, что от вас требуется сделать и выложить.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ardor\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','32');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
  DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • shepp0
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Abzz
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Kagore345
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
    • TotalLamer
      Автор TotalLamer
      Здравствуйте. Заранее искреннее прошу прощения за возможные затупы, я полнейший ноль в этой теме и с пк в натянутых отношениях, могу везде быть неправ. 

      В течении месяца были небольшие подозрения на майнер, но ничего не находило и через афтербернер вроде скачков прямо необычных нет, как я увидел. 

      Сегодня решил просканировал пк Malwarebytes и нашёл Trojan.Hijacker по c:\ProgramData\Google\Chrome\ - отправлен в карантин.
      Пошёл смотреть что в этой папке и там exe файл - updater.exe, который явно маскируется под Хром, но на него не возмущалось.
      Далее просканировал уже KVRT и так же нашёл Trojan.Win64.DllHijack.gen, но на тот updater так же ничего. 

      Закинув этот updater.exe на VirusTotal, понял по неймингу, что похоже это вирус с флибусты о котором писали ЦК F6. 

      Меня очень волнует этот файл, удалять и трогать я его боюсь, вдруг сделаю сложнее всё. 

      Результаты двух сканов и логи AutoLogger сделанные по вашему гайду в прикрепленном приложении.

      От всего сердца надеюсь на компетентных умных людей, постараюсь содействовать как смогу.
      С ув. 

      CollectionLog-2025.07.31-09.10.zip
×
×
  • Создать...