Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Остатки вируса майнера и ограничения защитника Windows

Artem1994

Автор Artem1994
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Artem1994

Artem1994

Опубликовано
Опубликовано

Здравствуйте. Установил по глупости вирус-майнер с зараженной игрой, путем поиска информации по разным форумам, с помощью Rkill разблокировал компьютер, чтобы он не вылетал с браузера и папки Program data (к чему приводил майнер), потом запустил DrWeb Cureit, который удалил вирусы, потом еще запустил AV block remover на поиск проблем, проблемы не найдены, также почистил, получив в ручном режиме отобранные разрешения, папки, созданные майнером в Program data/Program Files, которые были скрыты как системные и назывались именами антивирусов и других популярных программ. Хотел узнать есть ли остатки вируса на компьютере? И самое главное, не блокируется ли больше Windows Defender, потому что майнер его блокировал, хотя он работал, но майнера не видел и так не увидел вирус, даже после разблокировки компьютера rKillом. Это интересует, так как использую Windows Defender как единственный антивирус на компьютере. Логи прикрепляю. 

CollectionLog-2025.04.26-22.44.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\wlpg: [CLSID] = {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\NCH Software (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\System (empty)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\MapInfo - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [SPUpDateServerrun] => C:\Program Files (x86)\hik\update_server\startUp.exe (Нет файла)
HKLM-x32\...\Run: [supportserver] => C:\Program Files (x86)\hik\supportserver\YS_Dameon.exe (Нет файла)
HKLM-x32\...\Run: [TeamsMachineUninstallerProgramData] => %ProgramData%\Microsoft\Teams\Update.exe --uninstall --msiUninstall --source=default (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {EE1DB05E-7414-4F56-BE6D-16403E0284F4} - System32\Tasks\Microsoft\Windows\SysFilesC\RecoveryHosts => C:\ProgramData\Microsoft\MapData\qxmhpapdPMUUIx\SysFilesC.bat  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-809370347-1830867119-4228320239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: shipin7 -> C:\Program Files (x86)\hik\PCPlayer\npSP7WebVideoPlugin.dll [Нет файла]
FF Plugin-x32: shipin7safebox -> C:\Program Files (x86)\hik\PCPlayer\npSafePlugin.dll [Нет файла]
FF Plugin-x32: shipin7update -> C:\Program Files (x86)\hik\PCPlayer\npUpdataPlugin.dll [Нет файла]
2019-01-11 13:21 C:\Program Files\Process Hacker 2
2018-10-28 00:26 C:\Program Files (x86)\360
2018-10-30 00:51 C:\ProgramData\AVAST Software
2020-11-17 00:36 C:\ProgramData\Doctor Web
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140]
FirewallRules: [{9FE12A2A-97CD-4541-9A0C-F65F0F462B1A}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [{201CEEED-9527-48E5-93E8-C869F5BBBF92}] => (Allow) C:\Program Files\AVAST Software\Avast\AvEmUpdate.exe => Нет файла
FirewallRules: [TCP Query User{E034B26B-887C-4DE5-9A3A-655FECF11B7F}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe => Нет файла
FirewallRules: [UDP Query User{5D14B5DA-57A6-40A4-9EC1-42EBA6BC7867}C:\program files (x86)\sopcast\sopcast.exe] => (Allow) C:\program files (x86)\sopcast\sopcast.exe => Нет файла
FirewallRules: [TCP Query User{1E7D98B8-E551-482A-BF1E-B423DD9388FB}C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{85F35B9A-94B2-4FB0-A16F-C17054ECE372}C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\conarium\conarium\binaries\win64\conarium-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{EA4D6E88-1897-4B5E-AA31-DFBCF3E98E43}C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{850C880C-1C1A-48B6-A687-70E4A9DE24E3}C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the dark occult\the_dark_occult\binaries\win64\the_dark_occult-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{2CFF9F37-86CE-424C-A392-DDA5BD4FF8E4}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [UDP Query User{B5FCEB5F-6244-4B3D-AF95-CF015CAF1880}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [{1BA407CB-C53D-4B14-8AF6-6F11C23B2789}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{D3DD44BF-D681-43E7-A2C1-D0AC902FB1F5}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{AECC89BA-CA84-4F3B-B091-5F84FEAAAE97}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{49120594-E7F2-4772-9F5F-474C5E03FD90}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{8F6EEC64-FD76-4967-BDF4-1928EE277BB0}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{F7AA0D99-8B47-42A8-BE91-C62ED802916E}] => (Allow) C:\Users\User\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [TCP Query User{06EDB67F-301F-4817-A58C-6F60448F0613}C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe] => (Block) C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe => Нет файла
FirewallRules: [UDP Query User{EF23F3DC-38A6-4EB9-A182-2503E7325585}C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe] => (Block) C:\users\user\appdata\roaming\yandex\yandexdisk2\3.1.19.3647\telemost\yandextelemost.exe => Нет файла
FirewallRules: [TCP Query User{BB13963F-BC52-4A92-9A41-100FE3CBDD30}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [UDP Query User{E4CC48C1-3B11-46A3-9DFC-BBBE50812DF5}C:\program files (x86)\hik\supportserver\supportserver.exe] => (Allow) C:\program files (x86)\hik\supportserver\supportserver.exe => Нет файла
FirewallRules: [TCP Query User{9B442427-AB95-4274-A9AF-52949EA7E1EE}C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{F6548C16-D987-4D6F-8D1B-71DBF81E1C18}C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\visage\visage\binaries\win64\visage-win64-shipping.exe => Нет файла
FirewallRules: [{9A8BD272-4BCD-4038-AF84-82BBF55637CE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{755AB07B-6F58-4F33-9316-7DE0DD4EA41B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [TCP Query User{A9717778-FB85-4B2C-B3FE-BF170F813604}E:\sdi_rus\sdi_x64_r2201.exe] => (Allow) E:\sdi_rus\sdi_x64_r2201.exe => Нет файла
FirewallRules: [UDP Query User{B7361E90-4D41-4EDD-A356-0D958B0D45BB}E:\sdi_rus\sdi_x64_r2201.exe] => (Allow) E:\sdi_rus\sdi_x64_r2201.exe => Нет файла
FirewallRules: [{AF23B12C-127C-477D-8FFF-9CBE7D97B4F4}] => (Allow) C:\Program Files (x86)\Tencent\WeChat\WeChatBrowser.exe => Нет файла
FirewallRules: [{628B95E8-6405-408D-BB17-C8DC5967E1EB}] => (Allow) C:\Program Files (x86)\Tencent\WeChat\WeChatPlayer.exe => Нет файла
FirewallRules: [{14DA1B9D-E567-40FE-B35C-2556F4821A0C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [{587CEA7A-A870-4600-99D2-F02A6C338759}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Metro Last Light\MetroLL.exe => Нет файла
FirewallRules: [TCP Query User{16F8D873-4BE1-4192-86C8-D279903E744E}C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe => Нет файла
FirewallRules: [UDP Query User{46A61A00-F08A-47D3-B563-1A224C8EA181}C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\metro last light\metrollbenchmark.exe => Нет файла
FirewallRules: [TCP Query User{2776C84F-B3FC-434C-ADEB-8CA8A03551E5}C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A30F630E-D184-4EB4-BCC0-EDC668601162}C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\the beast inside\thebeastinside\binaries\win64\thebeastinside-win64-shipping.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
×
×
  • Создать...