[РЕШЕНО] Майнер XMRig

[wekai]

помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.

Где обитает:

1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.

 

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[wekai]

майнер который не детектится процесс хакером, работает с название updater.exe и находится в папке с файлами edge, появляется через время после закрытия. ситуация точно такая же как в посте, https://forum.kasperskyclub.ru/topic/465802-resheno-samo-vosproizvodimyj-virus-majner-cpu-xmrig/

 

 

но у меня после фикса по туториалу он не удалился. 

CollectionLog-2025.07.17-22.52.zip

 

Сообщение от модератора thyrex

Темы объединены

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe','');
 TerminateProcessByName('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe','');
 DeleteFile('c:\users\wekai\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\ApplicationData\CleanupTemporaryStaticFiles');
 DeleteFile('C:\Users\wekai\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[wekai]

CollectionLog-2025.07.17-23.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[wekai]

123.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2025-05-03 14:56 - 2025-07-17 23:29 - 000000000 __SHD C:\Users\wekai\AppData\Roaming\DriversUpdate
FirewallRules: [TCP Query User{5C5AC4F0-3F20-41D3-8C80-3FB2E82C8B6F}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла
FirewallRules: [UDP Query User{BFEBEEFE-974E-489D-BFEF-51817C279EFA}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe => Нет файла
FirewallRules: [{F4AAAEE6-12D1-461E-9EF6-1C26D5D15A68}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{300CB6E6-F1AB-40D5-9285-0ED1AD7F2655}] => (Allow) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{2FA970DA-71C1-4DDB-9D0D-C8853BFEA266}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{560398AE-6FD0-4669-807A-668A49B102CF}] => (Block) D:\проги\overwolf\0.275.0.13\OverwolfBrowser.exe => Нет файла
FirewallRules: [{6BA29A5D-D85F-43A2-A8FE-9163E3725882}] => (Allow) D:\проги\Office16\outlook.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Сообщите, решилась ли проблема.

[wekai]

Fixlog.txt

[thyrex]

Неужели трудно было дочитать до конца и сообщить

10 минут назад, thyrex сказал:

решилась ли проблема

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[wekai]

SecurityCheck.txt

[thyrex]

12 минут назад, thyrex сказал:

Неужели трудно было дочитать до конца и сообщить

22 минуты назад, thyrex сказал:

решилась ли проблема

 

спрашиваю в третий раз! Научитесь читать, наконец.

[wekai]

извините не сразу увидел. сейчас еще неизвестно решилась ли, т.к. майнер может вернуться +- через неделю. в пятницу вам отвечу

[thyrex]

41 минуту назад, wekai сказал:

т.к. майнер может вернуться

если сами не скачаете еще где-нибудь zapret с начинкой в виде майнера, то не вернется.

 

Пока будете наблюдать, по возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Microsoft OneDrive v.25.115.0615.0002 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9177 Внимание! Скачать обновления
Microsoft Edge v.138.0.3351.83 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
UpdateDoll Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ZillowDoge Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".