Перейти к содержанию
Правила раздела

[РЕШЕНО] Майнер XMRig

wekai

Автор wekai
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

wekai

wekai

Опубликовано
Опубликовано

помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.

Где обитает:

1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.

 

wekai

wekai

Опубликовано
  • Автор
Опубликовано

майнер который не детектится процесс хакером, работает с название updater.exe и находится в папке с файлами edge, появляется через время после закрытия. ситуация точно такая же как в посте, https://forum.kasperskyclub.ru/topic/465802-resheno-samo-vosproizvodimyj-virus-majner-cpu-xmrig/

 

 

но у меня после фикса по туториалу он не удалился. image.thumb.png.c94c135ed3c413950408cdf6ae0befbd.pngimage.thumb.png.8fa07fc54b98ad0eb9bb1979a1ba5ac3.png

CollectionLog-2025.07.17-22.52.zip

 

Сообщение от модератора thyrex

Темы объединены

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe','');
 TerminateProcessByName('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe','');
 DeleteFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\ApplicationData\CleanupTemporaryStaticFiles');
 DeleteFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
2025-05-03 14:56 - 2025-07-17 23:29 - 000000000 __SHD C:\Users\wekai\AppData\Roaming\DriversUpdate
FirewallRules: [TCP Query User{5C5AC4F0-3F20-41D3-8C80-3FB2E82C8B6F}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла
FirewallRules: [UDP Query User{BFEBEEFE-974E-489D-BFEF-51817C279EFA}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла
FirewallRules: [{F4AAAEE6-12D1-461E-9EF6-1C26D5D15A68}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{300CB6E6-F1AB-40D5-9285-0ED1AD7F2655}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2FA970DA-71C1-4DDB-9D0D-C8853BFEA266}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{560398AE-6FD0-4669-807A-668A49B102CF}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{6BA29A5D-D85F-43A2-A8FE-9163E3725882}] => (Allow) D:\проги\Office16\outlook.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Сообщите, решилась ли проблема.

thyrex

thyrex

Опубликовано
Опубликовано

Неужели трудно было дочитать до конца и сообщить

10 минут назад, thyrex сказал:

решилась ли проблема

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано
12 минут назад, thyrex сказал:

Неужели трудно было дочитать до конца и сообщить

22 минуты назад, thyrex сказал:

решилась ли проблема

 

спрашиваю в третий раз! Научитесь читать, наконец.

wekai

wekai

Опубликовано
  • Автор
Опубликовано

извините не сразу увидел. сейчас еще неизвестно решилась ли, т.к. майнер может вернуться +- через неделю. в пятницу вам отвечу

thyrex

thyrex

Опубликовано
Опубликовано
41 минуту назад, wekai сказал:

т.к. майнер может вернуться

если сами не скачаете еще где-нибудь zapret с начинкой в виде майнера, то не вернется.

 

Пока будете наблюдать, по возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Microsoft OneDrive v.25.115.0615.0002 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9177 Внимание! Скачать обновления
Microsoft Edge v.138.0.3351.83 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
UpdateDoll Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ZillowDoge Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
    • yestryl
      [РЕШЕНО] подозрение на майнер/стиллер
      Автор yestryl
      скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC.
      CollectionLog-2025.07.13-21.57.zip
×
×
  • Создать...