Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

[РЕШЕНО] подозрение на майнер/стиллер

yestryl

Автор yestryl
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

yestryl

yestryl

Опубликовано
Опубликовано

скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC.
CollectionLog-2025.07.13-21.57.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\giner\AppData\Roaming\utorrent\UtorrentWeb.exe','');
 DeleteFile('C:\Users\giner\AppData\Roaming\utorrent\UtorrentWeb.exe','64');
 DeleteSchedulerTask('UpdateTorrent');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (No File)
HKU\S-1-5-21-353977208-2752175538-3857167896-1001\...\Run: [ut] => "C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (No File)
C:\Users\giner\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ojbkmjpffonabcfbjdfefgignlemhmla
2025-07-13 14:23 - 2025-07-13 14:23 - 000000509 _____ C:\Users\giner\setup.dat
AlternateDataStreams: C:\Users\giner\Downloads\ChromeSetup.exe:MBAM.Zone.Identifier [384]
AlternateDataStreams: C:\Users\giner\Downloads\cpu-z_2.16-en.exe:MBAM.Zone.Identifier [122]
AlternateDataStreams: C:\Users\giner\Downloads\GPU-Z.2.66.0.exe:MBAM.Zone.Identifier [165]
AlternateDataStreams: C:\Users\giner\Downloads\HitmanPro_x64.exe:MBAM.Zone.Identifier [138]
AlternateDataStreams: C:\Users\giner\Downloads\hwi64_828.exe:MBAM.Zone.Identifier [159]
AlternateDataStreams: C:\Users\giner\Downloads\memreduct-3.5.2-setup.exe:MBAM.Zone.Identifier [145]
AlternateDataStreams: C:\Users\giner\Downloads\SpotifySetup.exe:MBAM.Zone.Identifier [115]
AlternateDataStreams: C:\Users\giner\Downloads\tsetup-x64.5.16.3.exe:MBAM.Zone.Identifier [129]
FirewallRules: [{97733558-C8C4-43D0-84FE-5428F4789BB3}] => (Allow) C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{7DEFB9EE-91E2-48CA-9C6A-BEF9B32BF589}] => (Allow) C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe => No File
FirewallRules: [{33F0F999-5216-409C-9AD6-A236C29E1082}] => (Allow) C:\Users\giner\AppData\Roaming\utorrent\uTorrent.exe => No File
FirewallRules: [{16250598-87E8-4283-A1A0-F2F4BA5BA448}] => (Allow) C:\Users\giner\AppData\Roaming\utorrent\uTorrent.exe => No File
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
yestryl

yestryl

Опубликовано
  • Автор
Опубликовано

да,спасибо. папка в темп перестала создаваться заново , сетап не запускается при каждой перезагрузке. 

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry2811
      trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш




    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

    • Георгий123
      MEM: Trojan-PSW.Win32. Mimikatz.gen и Backdoor.Win32.Gulpix.gen
      Автор Георгий123
      Здравствуйте, уважаемые эксперты. Прошу вашей помощи, так как сам уже не справляюсь. Ситуация запутанная
       
      Моя история и что я делал:
       
       У меня установлен антивирус Huorong Internet Security. Пару месяцев недель назад он начал обнаруживать и отправлять в карантин подозрительные файлы по пути вроде C:\Windows\System Temp\chrome_Unpacker_BeginUnzipping...\UpdaterSetup.exe. Они появлялись пачками по 3-4 файла 
      Сегодня я выключил интернет кабель по рекомендациям, запустил Kaspersky Virus Removal Tool (KVRT). Он нашёл трояны и я попытался вылечить угрозу: MEM:Backdoor.Win32.Gulpix.gen.
      После лечения и перезагрузки KVRT снова проверил систему и обнаружил уже ДРУГИЕ угрозы:
         · Trojan.Win32.Dorma.aeph — расположение: C:\Users\[Моё_Имя]\Downloads\CCleaner Soft download load.exe 
         · MEM:Trojan-PSW.Win32.Mimikatz.gen 
      Я пробовал лечить и эти угрозы через KVRT, но после перезагрузки ситуация повторяется: антивирус снова находит Mimikatz.
      После 3 проверки опять появился тот самый бэкдор..
      Интернет кабель ещё не включал я думаю что если я включу обратно или там перезагружу компьютер и начну им пользоваться то это все появится лбратно
      Прошу вас помочь! Буду очень благодарен, не разбираюсь особо в этом, но жалко компьютер.. 
       
    • Федор Игнашов
      стиллер на пк
      Автор Федор Игнашов
      Где то предположительно недели 3-4 назад регистрировался на множествах сайтах (знакомств и не только),изначально угрозе подверглась моя основная почта (была взломана) .Я поменял пароль и подумал что это поможет но через недели полторы произошел казус ,моя уже другая почта которая привязана к акаунту steam был тоже взломана причем никаких писем на почту о входе и о смене пароля не приходило. Я уверен что на моем пк стиллер куки или что то подобное  CollectionLog-2025.12.01-16.51.zip
×
×
  • Создать...