[РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.

[Viacheslau T]

Здравствуйте.

На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
Описание события:
```
Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: flibusta.su
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00

Событие: Остановлен переход на сайт
Пользователь: DESKTOP-579T290\tsvirkovv
Тип пользователя: Инициатор
Имя приложения: MSPCManager.exe
Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
Компонент: Интернет-защита
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: http://flibusta.su/favicon.ico
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: favicon.ico
Путь к объекту: http://flibusta.su
Причина: Базы
Дата выпуска баз: Вчера, 09.08.2025 15:47:00
```
Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.

Изменено 9 августа пользователем Viacheslau T
Добавил описание события

[thyrex]

Здравствуйте.

 

14 минут назад, Viacheslau T сказал:

Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему

Когда обращаются в этот раздел, неплохо было бы сразу знакомиться с его правилами.

 

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Viacheslau T]

Пока писал тему пришли новые 4 уведомления от касперского.
Видимо вирус после проверок пытается спрятаться под другое приложение.
Добавил нужный лог.

CollectionLog-2025.08.10-01.46.zip

Изменено 9 августа пользователем Viacheslau T
Добавил лог

[Sandor]

Здравствуйте!

 

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Viacheslau T]

Отчеты сканирования Farbar

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Edge StartupUrls: Default -> "hxxps://google.com/","hxxp://www.google.com/","hxxp://mail.ru/cnt/7993/","hxxps://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=12.2.0.5&sap=hp","hxxp://www.rambler.ru/?utm_source=r14&utm_medium=distribution&utm_content=e08&utm_campaign=a16","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.0.2.14&pid=avg&sg=&sap=hp","hxxp://isearch.avg.com/?cid={026DD7BA-F7ED-4149-B7E4-E1C926558E9A}&mid=d96a4e2523d347d0bd8b1d1be9f26953-814187739bbcfc50bece09bc43014d7c173013e9&lang=ru&ds=is015&pr=sa&d=2012-08-24%2012:46:58&v=14.2.0.1&pid=avg&sg=&sap=hp","hxxp://ru.msn.com/?pc=UP97&ocid=UP97DHP"
  C:\Users\RobotComp.ru\AppData\Local\Google\Chrome\User Data\Default\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
  AlternateDataStreams: C:\WINDOWS\System32:sguard [36]
  AlternateDataStreams: C:\WINDOWS\tracing:? [34]
  AlternateDataStreams: C:\ProgramData\fontcacheev1.dat:D758CE5CE2 [4306]
  AlternateDataStreams: C:\ProgramData\logo.bmp:AC0AC5C1DB [4306]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4306]
  AlternateDataStreams: C:\ProgramData\update.dat:EAF50031C2 [4306]
  AlternateDataStreams: C:\ProgramData\update.dat:F4155F398D [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox Redeem Launcher.lnk:5F7248A1A5 [4306]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\tuxlerVPN.lnk:E1DCF38143 [4306]
  FirewallRules: [{3BCBBE94-BD7D-43AF-A93A-17134EF68807}] => (Allow) LPort=32682
  FirewallRules: [{5821383E-4917-4FDE-B118-03570420CA1D}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
  FirewallRules: [{2E894E85-1F81-4864-B855-2511BC1F6BE0}] => (Allow) C:\Program Files (x86)\LagoFast\LagoFast.exe => Нет файла
  FirewallRules: [{27F2A550-6BF8-4002-84B7-E2C57F6EB1A4}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
  FirewallRules: [{0C932D99-92DC-4048-A31D-EFFBAB35FE5D}] => (Allow) C:\Program Files (x86)\LagoFast\lagoFastProxy.exe => Нет файла
  FirewallRules: [{307B3D69-C410-4330-AE98-C4383372D314}] => (Allow) C:\Program Files\Fortinet\FortiClient\FortiClient.exe => Нет файла
  FirewallRules: [{386CE14F-32C8-4FB6-85A5-8D4D1BBD7981}] => (Allow) LPort=32683
  FirewallRules: [{AEB79C7D-CD00-4839-BB52-E04510CCF191}] => (Allow) LPort=33683
  FirewallRules: [{24EFBCD3-BD5C-420A-9748-72B72413ED68}] => (Allow) LPort=26822
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Viacheslau T]

Выполнил шаги по инструкции, лог прикрепил.
Проблема осталась, но посмотрел fixlog, там все проводилось в двух браузерах edge и chrome, но мой основной браузер yandex, может нужно похожие шаги проделать у него?

Fixlog.txt

[Sandor]

По Яндекс браузеру в логах не видно ничего предосудительного. Но сделайте сброс его настроек и проверьте/понаблюдайте.

Результат сообщите.

[Viacheslau T]

Сделал сброс настроек, но ничего не изменилось.
Заметил, что сам отчет о переходе приходит при перезапуске приложения Pc Manager.
В нем нашел, что есть инструмент "Быстрые ссылки Edge", и там находиться ссылка на упомянутый сайт.
Вероятно, при запуске приложения оно проходит по этим быстрым ссылкам. Но никак не могу понять, как почистить эти данные.
Если я правильно понимаю, то в предыдущих проверках признаков вируса не обнаружено? Может быть, при очистке этих ссылок попыток пройти на сайт не будет и проблема решится.
Можете помочь с инструкцией, как их очистить? По поиску в Гугл ничего толкового не нахожу.

[Sandor]

11 минут назад, Viacheslau T сказал:

при перезапуске приложения Pc Manager

А если временно удалить это приложение?

 

[Viacheslau T]

Удалил приложение и срабатываний больше не было.
Подскажите, по остальным проверкам, какае-то явные признаки заражения есть?

[Sandor]

Нет. Но для верности сделайте дополнительно проверку с помощью CureIt. Результат сообщите.

[Viacheslau T]

Сделал дополнительную проверку ничего не нашло.
Думаю, на этом тему можно закрывать, спасибо за помощь!

[Sandor]

Хорошо. В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Viacheslau T]

Провел все действия, лог прикрепил.

SecurityCheck.txt