[РЕШЕНО] Появился вирус Tool.BtcMine.2780 и Backdoor.SiggenNet

[kurdzo]

Искал через Dr.Web (CureIt), удалял, но при следующем запуске системы снова идет нагрузка на ЦП и находятся эти вирусы. Dr.Web сейчас перестал запускаться. 

CollectionLog-2025.07.14-13.08.zip

Изменено 14 июля пользователем kurdzo

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 QuarantineFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe','');
 TerminateProcessByName('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe','');
 DeleteFile('c:\users\kurdzo\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteFile('c:\users\kurdzo\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('C:\Users\Kurdzo\AppData\Roaming\DriversUpdate\taskhostupdate.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove');
 DeleteFile('C:\Users\Kurdzo\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[kurdzo]

Здравствуйте, сделал все в тот же день, но в момент отправки сообщения лег сайт, только сейчас дошли руки. Форму отправки карантина заполнил, отправил вчера (14.07) в районе 14:00. Новые логи прикладываю:

CollectionLog-2025.07.15-23.43.zip

Изменено 15 июля пользователем kurdzo

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[kurdzo]

Новая сжатая ZIP-папка.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {70E751C8-D843-41BE-A9BC-B9C4E3C2D975} - System32\Tasks\Microsoft_Hardware_Launch_ipoint_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\ipoint.exe  (Нет файла)
Task: {3F6A6F3B-3B7D-491F-AF2E-8ADDCC323212} - System32\Tasks\Microsoft_Hardware_Launch_itype_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\itype.exe  (Нет файла)
Task: {4028B065-317E-450C-A5FF-6DEFD9F68F57} - System32\Tasks\Microsoft_Hardware_Launch_mousekeyboardcenter_exe => C:\Program Files\Microsoft Mouse and Keyboard Center\mousekeyboardcenter.exe  (Нет файла)
2025-07-12 17:36 - 2025-07-14 13:32 - 000000000 __SHD C:\Users\Kurdzo\AppData\Roaming\DriversUpdate
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-3022773534-1486881660-2897208169-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[kurdzo]

А можете сориентировать и уточнить, что мы сделали этим скриптом? Я вижу в адресе задачи "Microsoft Mouse and Keyboard Center"

Fixlog.txt

[thyrex]

Чистили мусор, оставшийся в системе.

 

19 минут назад, kurdzo сказал:

вижу в адресе задачи "Microsoft Mouse and Keyboard Center"

а приписку 

Цитата

(Нет файла)

в конце не видите? Задачи просто не работают.

 

Проблема решена?

 

[kurdzo]

Да, кажется проблема решена, нагрузка на комплектующие ушла еще когда я сделал ваш скрипт в AVZ. Но конкуретно не могу проверить Dr.Web'ом, он почему-то просто не запускается и крашит всю систему 🤷‍♂️

А про крайний скрипт я спросил, потому что заметил что-то связанное с клавиатурой и мышкой, с которыми сейчас испытываю проблемы (клавиатура иногда откликается с задержкой и на днях как будто бы стал залипать ctrl, хотя клавиша не горит и я ее даже не трогаю. Сразу скажу, залипание клавиш отлючено, драйвера на клаву стоят, клаве месяц, ничего не проливал и не ел за ней, она проводная и разные USB хосты уже перепробовал).
Вот я и подумал, что вы что-то обнаружили по логам и смогли помочь пофиксить что-то

Я просто совсем ничего не понимаю в этих командах, что и для чего прописывается, поэтому решил уточнить 😅

Изменено 16 июля пользователем kurdzo

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[kurdzo]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Node.js v.22.16.0 Внимание! Скачать обновления
NVIDIA App 11.0.4.148 v.11.0.4.148 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9195 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.138.0.7204.101 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".