[РЕШЕНО] Подозрение на майнер

[Ilyambuss]

Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.

CollectionLog-2025.06.15-00.21.zip

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\users\user\appdata\local\temp\2xzjmmugjeoboytjoc0goumkkhc\setup.exe');
 QuarantineFile('c:\users\user\appdata\local\temp\2xzjmmugjeoboytjoc0goumkkhc\setup.exe','');
 DeleteFile('c:\users\user\appdata\local\temp\2xzjmmugjeoboytjoc0goumkkhc\setup.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Ilyambuss]

CollectionLog-2025.06.15-02.42.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Ilyambuss]

Files.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {C9854318-0BAC-4E1B-9931-8FE6892419CB} - System32\Tasks\UpdateTorrent => C:\Users\User\AppData\Roaming\utorrent\UtorrentWeb.exe [79697587 2025-06-14] () [Файл не подписан] <==== ВНИМАНИЕ
File: C:\Users\User\AppData\Roaming\utorrent\UtorrentWeb.exe
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mjkaoengbcgpeoddpbcfjbjppmcknnlk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gdphfnfcibbndahgfapmfnkfegomknbf
S3 FairplayKD; \??\C:\ProgramData\NEXTRP All\Common\temp\FairplayKD.sys [X]
FirewallRules: [TCP Query User{94F50DEF-71B4-49F9-B379-C1ADBF92D552}D:\games\lesta\tanks_blitz\tanksblitz.exe] => (Allow) D:\games\lesta\tanks_blitz\tanksblitz.exe => Нет файла
FirewallRules: [UDP Query User{C69BDEF8-0B67-454C-8364-BD30D5BEBAB7}D:\games\lesta\tanks_blitz\tanksblitz.exe] => (Allow) D:\games\lesta\tanks_blitz\tanksblitz.exe => Нет файла
FirewallRules: [TCP Query User{2141019A-978C-403E-B9F6-00C703A460B3}D:\games\lesta\tanki\win64\worldoftanks.exe] => (Allow) D:\games\lesta\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{9D0FDDDE-3769-4239-BC48-CCA8EDC87A3C}D:\games\lesta\tanki\win64\worldoftanks.exe] => (Allow) D:\games\lesta\tanki\win64\worldoftanks.exe => Нет файла
FirewallRules: [{6CC73E22-3926-4D19-A6E9-50AEAA377E96}] => (Allow) D:\Games\Steam\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [{9839C943-288E-4E86-B77D-35FCBB2FFA93}] => (Allow) D:\Games\Steam\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла
FirewallRules: [TCP Query User{DB8545FA-B1FD-49B2-A224-6444972CD237}C:\users\user\desktop\vpn\nekoray\nekobox.exe] => (Allow) C:\users\user\desktop\vpn\nekoray\nekobox.exe => Нет файла
FirewallRules: [UDP Query User{2C80201F-210C-45FF-9136-B143F3BCDC34}C:\users\user\desktop\vpn\nekoray\nekobox.exe] => (Allow) C:\users\user\desktop\vpn\nekoray\nekobox.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[Ilyambuss]

Fixlog.txt

[thyrex]

Что сейчас с проблемой?

[Ilyambuss]

Помогло. Ноут перестал шуметь в спящем режиме, процессы пропали.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Ilyambuss]

После запуска SecurityCheck и недолгого ожидания вышло вот такое уведомление, нажал "Да"

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.21040 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.13.0 (64-bit) v.3.13.150.0 Внимание! Скачать обновления
Geeks3D FurMark 1.37.2.0 v.1.37.2.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Discord v.1.0.9013 Внимание! Скачать обновления

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v6.00.9727 v.6.00.9727 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Auslogics BoostSpeed 14 v.14.0.1.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

На этом закончим.

[Ilyambuss]

Благодарю!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".