Подозрения в майнинге

[MSnov]

Привет, хотел бы попросить помощи. Сегодня решил зайти в пириформ спесси и проверить температуру железа. 
Заметил в простое 49-52 градуса у процессора.
Уже читал тему про подобный вирус на этом форуме. Открываю диспетчер и на секунду вижу странный процесс, который моментально исчезает, а температура падает до обычной.
Установил uvs, посмотрел эти файлики, все находятся по пути  Roaming\microsoft\systemcertificates\My\CTLs и Microsoft\protect\. Но по первому пути ничего нету в папке CTLs, хотя увс показывает, что в ней находятся exe. файлы. Хочу разобраться, сам не шарю в таких делах. Спасибо заранее.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[MSnov]

Проверил AVZ

CollectionLog-2019.06.25-21.03.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

 QuarantineFile('C:\ProgramData\rneadwpapkavoston\rneadwresmai.exe','');

 QuarantineFile('C:\Users\Михаил\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\rneadwpapkamai\rneadwprocobolmai.exe','');

 QuarantineFile('C:\Program Files\inteldriverpack\intel.exe','');

 TerminateProcessByName('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe');

 QuarantineFile('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe','');

 DeleteFile('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe','32');

 DeleteFile('C:\Program Files\inteldriverpack\intel.exe','64');

 DeleteSchedulerTask('MicrosoftServicces');

 DeleteSchedulerTask('PowerMonitor');

 DeleteSchedulerTask('rneadwsborkavtoz');

 DeleteSchedulerTask('rneadwvosaut');

 DeleteSchedulerTask('SearchGo Task');

 DeleteFile('C:\Users\Михаил\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\rneadwpapkamai\rneadwprocobolmai.exe','64');

 DeleteFile('C:\ProgramData\rneadwpapkavoston\rneadwresmai.exe','64');

 DeleteFile('C:\Users\Михаил\AppData\Local\SearchGo\searchgo.exe','64');

ExecuteSysClean;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis

 

O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)

 

Деинсталлируйте:

Video and Audio Plugin UBar

 

Сделайте новые логи Автологгером. 

 

[MSnov]

Извините, что так долго. Работал. Всё сделал, папку отправил. Вот новый лог.

@mike 1, я так понял, что запуск вируса остановили. Температура процессора больше не поднимается, в диспетчере задач эту штуку не видел, но в файлы остались.

CollectionLog-2019.06.26-16.46.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[MSnov]

@mike 1, Сделал. Только пункта Drivers MD5 у меня не было.

FRST.txt

Addition.txt

Изменено 27 июня, 2019 пользователем MSnov

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

CreateRestorePoint:

CloseProcesses:

HKLM-x32\...\Run: [] => [X]

HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files\inteldriverpack\intel.exe <==== ATTENTION

HKU\S-1-5-19\...\Run: [] => [X]

HKU\S-1-5-20\...\Run: [] => [X]

HKU\S-1-5-21-612268883-699251428-1138393310-1000\...\Run: [] => [X]

HKU\S-1-5-21-612268883-699251428-1138393310-1000\...\Run: [FLBackup] => C:\Program Files (x86)\NewSoftware's\Folder Lock\FLComServCtrl.ex

HKU\S-1-5-18\...\Run: [] => [X]

GroupPolicy: Restriction ? <==== ATTENTION

GroupPolicy\User: Restriction ? <==== ATTENTION

CHR HKU\S-1-5-21-612268883-699251428-1138393310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx

CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx

virustotal: C:\Windows\SysWow64\WinVDEdrv6.sys

S3 68r0gYDhpxDPsbVY5SYBMQBDnyqydko; \??\C:\Users\Михаил\Desktop\mine\sanya\RuslanDriverprotect.sys [X]

S3 ADRBOFRPTNGB; \SystemRoot\System32\drivers\ADRBOFRPTNGB.sys [X]

S3 AOPQISMHHOCR; \SystemRoot\System32\drivers\AOPQISMHHOCR.sys [X]

S3 ARJIPRAALLMK; \SystemRoot\System32\drivers\ARJIPRAALLMK.sys [X]

S3 BEKRNERPPKLS; \SystemRoot\System32\drivers\BEKRNERPPKLS.sys [X]

S3 BJMCIKNPOSHJ; \SystemRoot\System32\drivers\BJMCIKNPOSHJ.sys [X]

S3 CEDCEAFRDIKN; \SystemRoot\System32\drivers\CEDCEAFRDIKN.sys [X]

S3 CSPTTBISFOBS; \SystemRoot\System32\drivers\CSPTTBISFOBS.sys [X]

S3 DAAGFDKOBLJP; \SystemRoot\System32\drivers\DAAGFDKOBLJP.sys [X]

S3 GBBDEPTBEKPJ; \SystemRoot\System32\drivers\GBBDEPTBEKPJ.sys [X]

S3 HQIJAOBICCAH; \SystemRoot\System32\drivers\HQIJAOBICCAH.sys [X]

S3 IACQDIPJIDHO; \SystemRoot\System32\drivers\IACQDIPJIDHO.sys [X]

S3 IBHEEFAJSEKM; \SystemRoot\System32\drivers\IBHEEFAJSEKM.sys [X]

S3 JRDMLJQRTBNL; \SystemRoot\System32\drivers\JRDMLJQRTBNL.sys [X]

S3 KIHREQGMFFDO; \SystemRoot\System32\drivers\KIHREQGMFFDO.sys [X]

S3 KOIGGTLRGTNF; \SystemRoot\System32\drivers\KOIGGTLRGTNF.sys [X]

S3 LwW8J35gqJnWyK53f7TTIeb8e6K5O8H; \??\E:\sanya\RuslanDriverprotect.sys [X]

S3 MJILCLGHPDOH; \SystemRoot\System32\drivers\MJILCLGHPDOH.sys [X]

S3 MSICDSetup; \??\D:\CDriver64.sys [X]

S3 OIBHQNSEITNR; \SystemRoot\System32\drivers\OIBHQNSEITNR.sys [X]

S3 PJGBQRSCTDCN; \SystemRoot\System32\drivers\PJGBQRSCTDCN.sys [X]

S3 PQDPBPPEFHKT; \SystemRoot\System32\drivers\PQDPBPPEFHKT.sys [X]

S3 QCSNSMMFNQIJ; \SystemRoot\System32\drivers\QCSNSMMFNQIJ.sys [X]

S3 SQQCDIKTCCLT; \SystemRoot\System32\drivers\SQQCDIKTCCLT.sys [X]

2019-03-30 17:12 - 2019-06-26 16:23 - 000000000 __SHD C:\Users\Михаил\AppData\Roaming\Win32

2019-03-30 17:10 - 2019-03-30 17:12 - 025358336 _____ C:\Users\Михаил\AppData\Roaming\intpor3.exe

2019-04-26 19:47 - 2019-04-26 19:47 - 000000053 _____ C:\Windows\WrpYGF74DrEm.ini

2018-03-11 09:52 - 2018-03-11 09:52 - 000000232 _____ () C:\Users\Михаил\AppData\Roaming\del.bat

2019-01-13 11:56 - 2019-01-13 11:56 - 000221302 _____ () C:\Users\Михаил\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt

2018-12-24 16:44 - 2018-12-24 16:56 - 000002659 _____ () C:\Users\Михаил\AppData\Roaming\droid4xinstaller.log

2019-03-30 17:10 - 2019-03-30 17:12 - 025358336 _____ () C:\Users\Михаил\AppData\Roaming\intpor3.exe

2019-03-10 17:40 - 2019-03-10 17:41 - 000000691 _____ () C:\Users\Михаил\AppData\Roaming\MPQEditor.ini

2017-08-11 18:31 - 2019-01-02 10:57 - 000007606 _____ () C:\Users\Михаил\AppData\Local\Resmon.ResmonCfg

2019-03-17 08:01 - 2019-03-17 08:10 - 000000072 _____ () C:\Users\Михаил\AppData\Local\update_progress.txt

WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::

WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]

WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер будет перезагружен.
  

• Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
  

 

 

[MSnov]

@mike 1, Всё выполнил, zip архив не появился.

Fixlog.txt

[mike 1]

Что с проблемой?

[MSnov]

Что с проблемой?

Вроде бы всё, температура проца больше не поднимается. Спасибо большое.

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  
• Прикрепите отчет в вашей теме