Вирус, маскирующийся под edge updater, восстанавливается после перезагрузки

[Prophet86]

Добрый день. Подцепил вирус, KVRT и Cureit его видят, определяют как bltminer, удаляют, но после перезапуска он восстанавливается. Сидит в папке AppData\Local\Microsoft\Edge\System\

Через диспетчер задач видно, что после запуска системы создается служебный сценарий в браузере Edge, который устанавливает файл Updater.exe, а также некую программу UmasMatima, но сразу же маскирует их расположение...

Помогите, пожалуйста, в решении проблемы

CollectionLog-2025.06.21-19.25.zip

[Sandor]

Здравствуйте!

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe');
 TerminateProcessByName('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe', '');
 QuarantineFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe', '');
 DeleteFile('C:\Users\TEST_2022\AppData\Local\Microsoft\Edge\System\update.exe', '64');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

2. После перезагрузки, выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

3. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O4 - HKLM\..\RunOnce: [4bbb02de-084d-46af-bdab-8fc4d48e2dc1] = C:\Users\TEST_2022\AppData\Local\Temp\{6f441971-3c25-48cc-aa75-9e7b791e2675}\4bbb02de-084d-46af-bdab-8fc4d48e2dc1.cm (file missing)
O4 - HKLM\..\RunOnce: [6ade0206-1d2f-4d3a-82f7-f006d0c4fbc4] = C:\Users\TEST_2022\AppData\Local\Temp\{c60fe144-12aa-4393-a39f-a40c653f83d3}\6ade0206-1d2f-4d3a-82f7-f006d0c4fbc4.cm (file missing)
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\MUI\FPRemove - C:\Users\TEST_2022\AppData\Roaming\DriversUpdate\taskhostupdate.exe (file missing)
O22 - Tasks: \Microsoft\Windows\MUI\RPRemove - C:\Users\TEST_2022\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe /verysilent (not signed - UnasMatima Software - A8A5A4DB4A7679A9FD9E6ABF603AE8F655E44546)
O22 - Tasks: \Microsoft\Windows\USB\Usb-Notification - C:\Users\TEST_2022\AppData\Roaming\DriversUpdate\Runtime_Broker.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709)

 

Перезагрузите компьютер вручную.

 

4.

1 час назад, Prophet86 сказал:

некую программу UmasMatima, но сразу же маскирует их расположение...

В перечне установленных видна. Удалите вместе с нежелательной Bonjour

 

 

5. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[Prophet86]

Все сделал, вроде больше программа не появляется. Спасибо!

CollectionLog-2025.06.22-09.00.zip

[Sandor]

Хорошо. Дополнительно, пожалуйста:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sandor]

Ответ вирлаб:

Цитата

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
HEUR:Trojan.MSIL.Agent.gen
Его детектирование будет включено в очередное обновление антивирусных баз.

 

@Prophet86, дополнительные логи всё же сделайте, пожалуйста.