Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Наличие вируса/автозагрузка майнера на компьютере.

Viacheslau T

Автор Viacheslau T
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Viacheslau T

Viacheslau T

Опубликовано
Опубликовано (изменено)

Здравствуйте.

На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
Описание события:
```
Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: flibusta.su
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00

Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: http://flibusta.su/favicon.ico
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00
```
Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.

1изображ.png

2изобр.png

3изображ.png

Изменено пользователем Viacheslau T
Добавил описание события
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

14 минут назад, Viacheslau T сказал:

Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему

Когда обращаются в этот раздел, неплохо было бы сразу знакомиться с его правилами.

 

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

Ссылка на комментарий
Поделиться на другие сайты
Viacheslau T

Viacheslau T

Опубликовано
  • Автор
Опубликовано (изменено)

Пока писал тему пришли новые 4 уведомления от касперского.
Видимо вирус после проверок пытается спрятаться под другое приложение.
Добавил нужный лог.

4.png

CollectionLog-2025.08.10-01.46.zip

Изменено пользователем Viacheslau T
Добавил лог
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Edge StartupUrls: Default -> "hxxps://google.com/","hxxp://www.google.com/","hxxp://mail.ru/cnt/7993/","hxxps://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=12.2.0.5&sap=hp","hxxp://www.rambler.ru/?utm_source=r14&utm_medium=distribution&utm_content=e08&utm_campaign=a16","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.0.2.14&pid=avg&sg=&sap=hp","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.2.0.1&pid=avg&sg=&sap=hp","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
C:\Users\RobotComp.ru\AppData\Local\Google\Chrome\User Data\Default\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
AlternateDataStreams: C:\WINDOWS\System32:sguard [36]
AlternateDataStreams: C:\WINDOWS\tracing:? [34]
AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [4306]
AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [4306]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4306]
AlternateDataStreams: C:\ProgramData\update.dat:EAF50031C2 [4306]
AlternateDataStreams: C:\ProgramData\update.dat:F4155F398D [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox Redeem Launcher.lnk:5F7248A1A5 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\tuxlerVPN.lnk:E1DCF38143 [4306]
FirewallRules: [{3BCBBE94-BD7D-43AF-A93A-17134EF68807}] => (Allow) LPort=32682
FirewallRules: [{5821383E-4917-4FDE-B118-03570420CA1D}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{2E894E85-1F81-4864-B855-2511BC1F6BE0}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
FirewallRules: [{27F2A550-6BF8-4002-84B7-E2C57F6EB1A4}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{0C932D99-92DC-4048-A31D-EFFBAB35FE5D}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
FirewallRules: [{307B3D69-C410-4330-AE98-C4383372D314}] => (Allow) C:\Program Files\Fortinet\FortiClient\FortiClient.exe => Нет файла
FirewallRules: [{386CE14F-32C8-4FB6-85A5-8D4D1BBD7981}] => (Allow) LPort=32683
FirewallRules: [{AEB79C7D-CD00-4839-BB52-E04510CCF191}] => (Allow) LPort=33683
FirewallRules: [{24EFBCD3-BD5C-420A-9748-72B72413ED68}] => (Allow) LPort=26822
startbatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
endbatch:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Viacheslau T

Viacheslau T

Опубликовано
  • Автор
Опубликовано

Выполнил шаги по инструкции, лог прикрепил.
Проблема осталась, но посмотрел fixlog, там все проводилось в двух браузерах edge и chrome, но мой основной браузер yandex, может нужно похожие шаги проделать у него?

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

По Яндекс браузеру в логах не видно ничего предосудительного. Но сделайте сброс его настроек и проверьте/понаблюдайте.

Результат сообщите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • Mazahis666
      Подозреваю наличие вирусов и вредоносного ПО.
      Автор Mazahis666
      При использовании Пк периодически гаснет монитор на несколько секунд, стал вылетать браузер-игры-приложения без обьяснения причин. Пк постоянно загружен на 50 и более процентов при использовании браузера, есть подозрения чт подхватил вирус при установке виндоус или каких либо программ. Почитал темы на форуме, ничего не понятно... И да пк достаточно нормальный по характеристикам. Винда 11 прошка лиц.
    • super__feya
      [РЕШЕНО] Подозрение на наличие вируса/майнера на компьютере.
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
×
×
  • Создать...