Перейти к содержанию
Правила раздела

[РЕШЕНО] Подозрения на майнер с флибусты updater.exe (SBIEDLL.exe) и пара Hijack

TotalLamer

Автор TotalLamer
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

TotalLamer

TotalLamer

Опубликовано
Опубликовано

Здравствуйте. Заранее искреннее прошу прощения за возможные затупы, я полнейший ноль в этой теме и с пк в натянутых отношениях, могу везде быть неправ. 

В течении месяца были небольшие подозрения на майнер, но ничего не находило и через афтербернер вроде скачков прямо необычных нет, как я увидел. 

Сегодня решил просканировал пк Malwarebytes и нашёл Trojan.Hijacker по c:\ProgramData\Google\Chrome\ - отправлен в карантин.
Пошёл смотреть что в этой папке и там exe файл - updater.exe, который явно маскируется под Хром, но на него не возмущалось.
Далее просканировал уже KVRT и так же нашёл Trojan.Win64.DllHijack.gen, но на тот updater так же ничего. 

Закинув этот updater.exe на VirusTotal, понял по неймингу, что похоже это вирус с флибусты о котором писали ЦК F6

Меня очень волнует этот файл, удалять и трогать я его боюсь, вдруг сделаю сложнее всё. 

Результаты двух сканов и логи AutoLogger сделанные по вашему гайду в прикрепленном приложении.

От всего сердца надеюсь на компетентных умных людей, постараюсь содействовать как смогу.
С ув. 

sdsgsgsgs.png

CollectionLog-2025.07.31-09.10.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

TotalLamer

TotalLamer

Опубликовано
  • Автор
Опубликовано

Вроде бы всё верно сделал. 
Карантин был отправлен через форму.
Логи через Autologger в приложении, там же скриншот после выполнение скрипта в AVZ. 

ssfsfsdfsfsfs.png

CollectionLog-2025.07.31-09.48.zip

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Debugger: HKLM\..\KMmpeg.exe: [Debugger] = 0 (file missing)
O26 - Debugger: HKLM\..\KMPlayer.exe: [Debugger] = 0 (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

Я разве просил собирать эти логи в безопасном режиме?

 

Майнер уже должен быть побежден. Потому все действия выполняем в обычном режиме.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4085775789-1960969427-1928536659-1002\...\MountPoints2: {9e0a746f-3f45-11ea-a5be-806e6f6e6963} - "E:\setup.exe" 
Task: {B29AC110-CB5A-4098-8182-AF32514F0044} - System32\Tasks\Opera scheduled Autoupdate 1725858406 => C:\Program Files\Opera\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usocore.dll [906752 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S4 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; %systemroot%\system32\WaasMedicSvc.dll [X]
Folder: C:\Users\Admin\AppData\Roaming\Microsoft\Network
2025-07-31 09:37 - 2025-07-31 10:00 - 000001182 _____ C:\Users\Admin\Desktop\scr.txt
2025-07-31 08:43 - 2025-07-31 08:43 - 000000050 _____ C:\Users\Admin\Desktop\addd.txt
FirewallRules: [{DD7A5A31-9971-41A6-8294-4C7D532DE1E6}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла
FirewallRules: [{B5F9EBB1-317F-43F1-8DA9-477CE9A54469}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла
FirewallRules: [{7800B3A5-730B-4C6A-AC22-D95B39E535B2}] => (Allow) C:\Program Files\Opera\opera.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


После этого сделайте новые логи Farbar в обычном режиме.

 

  • Спасибо (+1) 1
TotalLamer

TotalLamer

Опубликовано
  • Автор
Опубликовано

За безопасный режим прошу прощения, затупил. 

В буфер скапировал. Фикс сделал. Фикслог приложил. 

Сейчас в Фабаре просто нужно нажать Сканировать? Без каких-то дополнительных галочек на Доп.сканировании? 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Все делать, как и в прежней инструкции.

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано
15 минут назад, TotalLamer сказал:

Что-то ещё нужно или там показывает что всё уже хорошо? 

наберитесь терпения и ждите, помощь оказывается добровольно в свободное от основных занятий время.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/win-10/ reg-файлы для служб BITS, dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

  • Спасибо (+1) 1
TotalLamer

TotalLamer

Опубликовано
  • Автор
Опубликовано

 

6 минут назад, thyrex сказал:

наберитесь терпения и ждите, помощь оказывается добровольно в свободное от основных занятий время.


Прошу прощения, я без негатива какого-то или торопления, правда, просто думал может там уже всё нормально. Спасибо большое, что помогаете, всех благ вам. 
 

 

8 минут назад, thyrex сказал:

 reg-файлы для служб BITS, dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.



Внёс всё указанное в реестр. 

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Malwarebytes version 5.3.4.202 v.5.3.4.202 Внимание! Скачать обновления
System Informer v.3.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA.
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
FastStone Image Viewer 7.8 v.7.8 Внимание! Скачать обновления
Discord v.1.0.9166 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Skype, версия 8.134 v.8.134 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams.
foobar2000 v2.1.3 (x64) v.2.1.3 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.1.102.64 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Mozilla Firefox (x64 ru) v.140.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.138.0.7204.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
The KMPlayer RePack by CUTA v.4.2.2.39 - (build 3) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

На этом закончим.

  • Спасибо (+1) 1
TotalLamer

TotalLamer

Опубликовано
  • Автор
Опубликовано
10 минут назад, thyrex сказал:

На этом закончим.


Спасибо вам большое, сам бы наверное и дальше втухал вечность с ощущением беспомощности, спасли буквально. Надеюсь там теперь всё хорошо и спокойно. 

От души вас благодарю. 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • PinkyPhosphor
      [РЕШЕНО] Два системных файла dwm.exe, под одним замаскированная вредоносная программа
      Автор PinkyPhosphor
      Здравствуйте. 
      Помогите с решением проблемы.
      В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот),  а у второй всё адекватно.
      Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. 
      Прошу помощи с решением данной проблемы
       

    • wewka
      [РЕШЕНО] Удаление майнера WinAIHService, WinServiceNetworking
      Автор wewka
      Обнаружил на компьютере процесс WinServiceNetworking, который влияет на производительность. Сканирование KVRT определяет как потенциальный майнер, описание, кажется, говорит само за себя. После сканирования, попытки удаления и  перезагрузки компьютера файл все еще на месте, процесс запускается. Прошу вашей помощи с удалением вредоносных файлов

      CollectionLog-2026.01.25-16.30.zip
    • F D
      Подозрение на майнер, ошибка 0х81000203, загрузка 100% процессора.
      Автор F D
      Здравствуйте.
      Слетели драйвера на сетевой WiFi адаптер ноутбука, доступ к интернету пропал.
      Попробовал восстановить систему по контрольной точке. Выдало ошибку 0x81000203.
      Пробовал krd на загрузочной флешке, Avbr и KVRT.
      Скачал драйвер с другого устройства, перекинул через флешку и вернул доступ к интернету.
      Заметил загрузку процессора 100%. Раньше такого не замечал. Подозрение на майнер или другое вредоносное ПО.
      Прошу помочь с проблемой, спасибо!

      CollectionLog-2026.01.23-15.53.zip
    • Grantjordy
      [РЕШЕНО] Обращение dwm.exe к https://pastebin.com/raw
      Автор Grantjordy
      Здравствуйте.
      Включил компьютер и антивирус сообщил об остановке перехода файла dwm.exe на pastebin.com/raw.
      Выдаёт следующий текст:
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-DVDF6U0\Pechka
      Тип пользователя: Инициатор
      Имя приложения: dwm.exe
      Путь к приложению: C:\Windows\System32
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://pastebin.com/raw/Gsr7EpV2?t=1769098300
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: Gsr7EpV2?t=1769098300
      Путь к объекту: https://pastebin.com/raw
      Причина: Облачная защита
      Прикладываю логи с AutoLogger.
      Также дополнительно прикладываю образ автозапуска системы, сделанного с помощью uVS.
      CollectionLog-2026.01.22-20.50.zip DESKTOP-DVDF6U0_2026-01-22_20-41-06_v5.0.3v x64.7z
×
×
  • Создать...