Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

вирус updater.exe(XMRig miner)

loner1n

Автор loner1n
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

loner1n Новичок

loner1n

Опубликовано
Опубликовано (изменено)

вот этого жука увидел у себя в диспетчере задач, делал проверку с Kaspersky Virus Removal Tool и Dr.Web Cureit. При удалении через касперского показывало что что то удалило, а после перезагрузки заново находило его же

image.png

FRST.txt

Изменено пользователем loner1n
Ссылка на комментарий
Поделиться на другие сайты
Mark D. Pearlstone Мудрец

Mark D. Pearlstone

Опубликовано
Опубликовано
Только что, loner1n сказал:

изменил

Прочтите по ссылке во втором сообщении темы, что от вас требуется сделать и выложить.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ardor\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','32');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
  DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • godstar
      updater.exe файл-вирус, также майнер
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Kagore345
      Вирус (возможно майнер). Google\Chrome\updater.exe
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
    • flynk
      вирус "updater.exe" восстанавливается при удалении
      Автор flynk
      вчера обнаружил вирус на своем компьютере и при удалении он сразу же восстанавливается. сидит в C:\ProgramData\Google\Chrome (на момент написания файл в папке отсутствует, но папка Google при удалении восстанавливается). п ерепробовал кучу способов, удалить не получается. пробовал откатываться на точки восстановления, но все равно не помогало. ранее при запуске компьютера панель задач прогружалась минут 5, все крайне лагало. на данный момент проблемы вроде как пропали, но при первом запуске просто черный экран. сканировался через Malwarebytes, DrWeb Cureit, Hitman PRO. 
      CollectionLog-2024.02.06-21.02.zip
×
×
  • Создать...