[РЕШЕНО] Подозрения на майнер с флибусты updater.exe (SBIEDLL.exe) и пара Hijack

[TotalLamer]

Здравствуйте. Заранее искреннее прошу прощения за возможные затупы, я полнейший ноль в этой теме и с пк в натянутых отношениях, могу везде быть неправ. 

В течении месяца были небольшие подозрения на майнер, но ничего не находило и через афтербернер вроде скачков прямо необычных нет, как я увидел. 

Сегодня решил просканировал пк Malwarebytes и нашёл Trojan.Hijacker по c:\ProgramData\Google\Chrome\ - отправлен в карантин.
Пошёл смотреть что в этой папке и там exe файл - updater.exe, который явно маскируется под Хром, но на него не возмущалось.
Далее просканировал уже KVRT и так же нашёл Trojan.Win64.DllHijack.gen, но на тот updater так же ничего. 

Закинув этот updater.exe на VirusTotal, понял по неймингу, что похоже это вирус с флибусты о котором писали ЦК F6. 

Меня очень волнует этот файл, удалять и трогать я его боюсь, вдруг сделаю сложнее всё. 

Результаты двух сканов и логи AutoLogger сделанные по вашему гайду в прикрепленном приложении.

От всего сердца надеюсь на компетентных умных людей, постараюсь содействовать как смогу.
С ув. 

CollectionLog-2025.07.31-09.10.zip

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 DeleteService('GoogleUpdateTaskMachineQC');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[TotalLamer]

Вроде бы всё верно сделал. 
Карантин был отправлен через форму.
Логи через Autologger в приложении, там же скриншот после выполнение скрипта в AVZ. 

CollectionLog-2025.07.31-09.48.zip

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Debugger: HKLM\..\KMmpeg.exe: [Debugger] = 0 (file missing)
O26 - Debugger: HKLM\..\KMPlayer.exe: [Debugger] = 0 (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[TotalLamer]

Пофиксил. Засканил. Логи прикладываю. 

Addition & FRST.zip

[thyrex]

Я разве просил собирать эти логи в безопасном режиме?

 

Майнер уже должен быть побежден. Потому все действия выполняем в обычном режиме.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4085775789-1960969427-1928536659-1002\...\MountPoints2: {9e0a746f-3f45-11ea-a5be-806e6f6e6963} - "E:\setup.exe" 
Task: {B29AC110-CB5A-4098-8182-AF32514F0044} - System32\Tasks\Opera scheduled Autoupdate 1725858406 => C:\Program Files\Opera\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S4 UsoSvc_bkp; C:\Windows\system32\usocore.dll [906752 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S4 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2023-12-31] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; %systemroot%\system32\WaasMedicSvc.dll [X]
Folder: C:\Users\Admin\AppData\Roaming\Microsoft\Network
2025-07-31 09:37 - 2025-07-31 10:00 - 000001182 _____ C:\Users\Admin\Desktop\scr.txt
2025-07-31 08:43 - 2025-07-31 08:43 - 000000050 _____ C:\Users\Admin\Desktop\addd.txt
FirewallRules: [{DD7A5A31-9971-41A6-8294-4C7D532DE1E6}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла
FirewallRules: [{B5F9EBB1-317F-43F1-8DA9-477CE9A54469}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла
FirewallRules: [{7800B3A5-730B-4C6A-AC22-D95B39E535B2}] => (Allow) C:\Program Files\Opera\opera.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После этого сделайте новые логи Farbar в обычном режиме.

 

[TotalLamer]

За безопасный режим прошу прощения, затупил. 

В буфер скапировал. Фикс сделал. Фикслог приложил. 

Сейчас в Фабаре просто нужно нажать Сканировать? Без каких-то дополнительных галочек на Доп.сканировании? 

Fixlog.txt

[thyrex]

Все делать, как и в прежней инструкции.

[TotalLamer]

Addition & FRST 2.zip

 

Что-то ещё нужно или там показывает что всё уже хорошо? 

[thyrex]

15 минут назад, TotalLamer сказал:

Что-то ещё нужно или там показывает что всё уже хорошо? 

наберитесь терпения и ждите, помощь оказывается добровольно в свободное от основных занятий время.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/win-10/ reg-файлы для служб BITS, dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[TotalLamer]

 

6 минут назад, thyrex сказал:

наберитесь терпения и ждите, помощь оказывается добровольно в свободное от основных занятий время.

Прошу прощения, я без негатива какого-то или торопления, правда, просто думал может там уже всё нормально. Спасибо большое, что помогаете, всех благ вам. 
 

 

8 минут назад, thyrex сказал:

 reg-файлы для служб BITS, dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Внёс всё указанное в реестр. 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[TotalLamer]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Malwarebytes version 5.3.4.202 v.5.3.4.202 Внимание! Скачать обновления
System Informer v.3.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA.
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
FastStone Image Viewer 7.8 v.7.8 Внимание! Скачать обновления
Discord v.1.0.9166 Внимание! Скачать обновления
Zoom v.5.17.11 (34827) Внимание! Скачать обновления
Skype, версия 8.134 v.8.134 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams.
foobar2000 v2.1.3 (x64) v.2.1.3 Внимание! Скачать обновления
Adobe Flash Player 10 ActiveX v.10.1.102.64 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Mozilla Firefox (x64 ru) v.140.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.138.0.7204.169 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
The KMPlayer RePack by CUTA v.4.2.2.39 - (build 3) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
 

На этом закончим.

[TotalLamer]

10 минут назад, thyrex сказал:

На этом закончим.

Спасибо вам большое, сам бы наверное и дальше втухал вечность с ощущением беспомощности, спасли буквально. Надеюсь там теперь всё хорошо и спокойно. 

От души вас благодарю.