[РЕШЕНО] Подхватил майнер

[safety]

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\Windows\tracing:? [16]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ogmcjemnbbnbhmimmhdfkglfldnembdf
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Этот файл так и не увидел. Нужен для контроля выполнения скрипта в uVS

Цитата

 

+

этот файл добавьте

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

 

Изменено 11 февраля пользователем safety

[Vamp1ri]

CollectionLog-2026.02.11-13.43.zip Fixlog.rar

[safety]

С Fixlog все хорошо,

и последнее:

 

Что ж вы так невнимательны:

Я прошу у вас файл

дата_времяlog.txt

из папки, откуда запускали uVS

Изменено 11 февраля пользователем safety

[Vamp1ri]

Прошк прощения, прикрепляю

WIN-DIFSNJNRESI_2026-02-11_14-05-26_v5.0.3v x64.7z

[safety]

.Опять не поняли.

файл дата_времяlog.txt,

т.е. он уже создан после выполнения скрипта в uVS.

вот примерно такой по виду

2026-02-05_23-15-59_log.txt

только дата будет сегодняшняя, и время другое.

файл этот лежит в папке, откуда был запущен uVS

Изменено 11 февраля пользователем safety

[Vamp1ri]

Увидел

2026-02-11_10-31-31_log.rar

[safety]

Хорошо, исключения из WinDef были удалены

Удалено исключение WD - ExclusionPath: C:\Windows\system32\config\systemprofile\AppData\Roaming\CanTransformMultipleBlocks\TypeId.exe
Удалено исключение WD - ExclusionProcess: RegAsm.exe
Удалено исключение WD - ExclusionProcess: RegSvcs.exe
Удалено исключение WD - ExclusionProcess: TypeId.exe

 

Причина была в этом файле, который поднимал фейковые процессы и внедрял майнер

Полное имя                  C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\CANTRANSFORMMULTIPLEBLOCKS\TYPEID.EXE

 

https://www.virustotal.com/gui/file/ff99a0124faa15abdac7e87abb52fcad0d628e0bf272f81ce5ce78054fbe3852

 

Судя по времени был создан вчера

Создан                      10.02.2026 в 23:08:56
Изменен                     10.02.2026 в 23:08:41

и задача запуска была создана вчера

Ссылка                      HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3542312D-912D-41E0-851C-5B10FC4F1072}\Actions
Actions                     "C:\Windows\system32\config\systemprofile\AppData\Roaming\CanTransformMultipleBlocks\TypeId.exe"
Задача создана              10.02.2026 в 23:08:56

 

 

Изменено 11 февраля пользователем safety

[Vamp1ri]

Спасибо за помощь!

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".