Появился вирус Tool.BtcMine.2780 и Backdoor.SiggenNet

[kurdzo]

Искал через Dr.Web (CureIt), удалял, но при следующем запуске системы снова идет нагрузка на ЦП и находятся эти вирусы. Dr.Web сейчас перестал запускаться. 

CollectionLog-2025.07.14-13.08.zip

Изменено Понедельник в 10:10 пользователем kurdzo

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe','');
 TerminateProcessByName('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe','');
 DeleteFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove');
 DeleteFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kurdzo]

Здравствуйте, сделал все в тот же день, но в момент отправки сообщения лег сайт, только сейчас дошли руки. Форму отправки карантина заполнил, отправил вчера (14.07) в районе 14:00. Новые логи прикладываю:

CollectionLog-2025.07.15-23.43.zip

Изменено 16 часов назад пользователем kurdzo

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kurdzo]

Новая сжатая ZIP-папка.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {70E751C8-D843-41BE-A9BC-B9C4E3C2D975} - System32\Tasks\Microsoft_Hardware_Launch_ipoint_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe  (Нет файла)
Task: {3F6A6F3B-3B7D-491F-AF2E-8ADDCC323212} - System32\Tasks\Microsoft_Hardware_Launch_itype_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe  (Нет файла)
Task: {4028B065-317E-450C-A5FF-6DEFD9F68F57} - System32\Tasks\Microsoft_Hardware_Launch_mousekeyboardcenter_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe  (Нет файла)
2025-07-12 17:36 - 2025-07-14 13:32 - 000000000 __SHD C:\Users\Kurdzo\AppData\Roaming\DriversUpdate
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kurdzo]

А можете сориентировать и уточнить, что мы сделали этим скриптом? Я вижу в адресе задачи "Microsoft Mouse and Keyboard Center"

Fixlog.txt

[thyrex]

Чистили мусор, оставшийся в системе.

 

19 минут назад, kurdzo сказал:

вижу в адресе задачи "Microsoft Mouse and Keyboard Center"

а приписку 

Цитата

(Нет файла)

в конце не видите? Задачи просто не работают.

 

Проблема решена?

 

[kurdzo]

Да, кажется проблема решена, нагрузка на комплектующие ушла еще когда я сделал ваш скрипт в AVZ. Но конкуретно не могу проверить Dr.Web'ом, он почему-то просто не запускается и крашит всю систему 🤷‍♂️

А про крайний скрипт я спросил, потому что заметил что-то связанное с клавиатурой и мышкой, с которыми сейчас испытываю проблемы (клавиатура иногда откликается с задержкой и на днях как будто бы стал залипать ctrl, хотя клавиша не горит и я ее даже не трогаю. Сразу скажу, залипание клавиш отлючено, драйвера на клаву стоят, клаве месяц, ничего не проливал и не ел за ней, она проводная и разные USB хосты уже перепробовал).
Вот я и подумал, что вы что-то обнаружили по логам и смогли помочь пофиксить что-то

Я просто совсем ничего не понимаю в этих командах, что и для чего прописывается, поэтому решил уточнить 😅

Изменено 2 часа назад пользователем kurdzo

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.