[РЕШЕНО] Подозрительный процесс

[Кеша]

Решил проверить планировщик заданий и обнаружил на своём ПК такую задачу как "ChrxTask", решил посмотреть в интернете и выяснил, что возможно это скрытый майнер. Такие программы как Kaspersky Virus Removal Tool и Dr. Web CureIt не обнаружили ничего подозрительного, однако этот процесс запускается сам по себе даже после того, как я его останавливаю вручную. Хотел бы узнать, вирус ли это, или так и должно быть.

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Кеша]

CollectionLog-2021.07.18-12.13.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Кеша]

FRSTLogs.zip

[thyrex]

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать):

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1715460767-317104556-1903252653-1001\...\MountPoints2: {1ac69b62-481b-11eb-927e-f4b5200efb40} - "E:\autorun.exe" 
HKU\S-1-5-21-1715460767-317104556-1903252653-1001\...\MountPoints2: {1ac69bdd-481b-11eb-927e-f4b5200efb40} - "F:\autorun.exe" 
HKU\S-1-5-21-1715460767-317104556-1903252653-1001\...\MountPoints2: {d934c2de-a8a3-11ea-9140-f4b5200efb40} - "F:\HiSuiteDownLoader.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C2A4B4C8-8D18-4751-B12A-543307474EF3} - System32\Tasks\ChrxTask => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --load-extension=C:\Windows\Temp\Chrx --user-data-dir=C:\Windows\Temp\ChrxProfile <==== ВНИМАНИЕ
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gakekacnalcpkgkogmbmknlcdikjghba
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmmngghadfldnkoaifofpbkchpkbjbph
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gnpcccdfbmbpdhheipohfipmmkpfclek
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\gakekacnalcpkgkogmbmknlcdikjghba
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\gmmngghadfldnkoaifofpbkchpkbjbph
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\gnpcccdfbmbpdhheipohfipmmkpfclek
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gakekacnalcpkgkogmbmknlcdikjghba
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gmmngghadfldnkoaifofpbkchpkbjbph
C:\Users\Адрей\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\gnpcccdfbmbpdhheipohfipmmkpfclek
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [219]
AlternateDataStreams: C:\Users\Адрей\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\Адрей\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
BHO: Нет имени -> {5084A637-CAB7-4C68-B77C-0493F25343B2} -> Нет файла
BHO: Нет имени -> {AC0951B2-CFB4-4F69-BE71-644BBD698D8D} -> Нет файла
BHO-x32: Нет имени -> {5084A637-CAB7-4C68-B77C-0493F25343B2} -> Нет файла
BHO-x32: Нет имени -> {AC0951B2-CFB4-4F69-BE71-644BBD698D8D} -> Нет файла
FirewallRules: [TCP Query User{A1AF110A-A427-48B9-A4BD-711C3B668B26}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{40D89ABE-2DDF-4A41-9208-C9FA7A0EC03B}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{ACDC8D70-A73E-4886-AB2B-01964A11A918}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{8B73B20F-4905-4CE8-855A-C8465B2205B3}C:\program files\java\jre1.8.0_211\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_211\bin\javaw.exe => Нет файла
FirewallRules: [{71CE4DB9-2C2E-43E0-8D9E-046E71364995}] => (Allow) C:\Users\Адрей\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Кеша]

Fixlog.txt

[thyrex]

Проблема решена?

[Кеша]

да

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Кеша]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 18.07.2021 21:14:18
Path starting: C:\Users\Адрей\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Адрей
VersionXML: 8.91is-10.07.2021
___________________________________________________________________________

Windows 10(6.3.17763) (x64) EnterpriseS Версия: 1809 Lang: Russian(0419)
Дата установки ОС: 07.02.2019 18:59:57
Статус лицензии: Windows(R), EnterpriseS edition Срок истечения многопользовательской активации: 8680859 мин.
Статус лицензии: Office 19, Office19ProPlus2019R_Grace edition Windows находится в режиме уведомления
Статус лицензии: Office 19, Office19ProPlus2019VL_KMS_Client_AE edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: ? ФС: [NTFS] Емкость: [243.6 Гб] Занято: [142.4 Гб] Свободно: [101.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1790.17763.0 [+]
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB5003646 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14026.20270 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74
Microsoft OneDrive v.21.119.0613.0001
Epic Games Launcher v.1.2.17.0
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002
---------------------------- [ ProxyAndVPNs ] -----------------------------
Radmin VPN 1.1.11 v.1.1.4289
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 291 (64-bit) v.8.0.2910.10
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
Spotify v.1.1.63.568.gda8cb5ac [+]
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.91.0.4472.164 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MsMpEng.exe v.4.18.1807.18075
C:\Program Files\Windows Defender\NisSrv.exe v.4.18.1807.16384
Антивирусная программа "Защитника Windows" (WinDefend) - Служба работает
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Цитата

 

------------------------------- [ HotFix ] --------------------------------
HotFix KB5003646 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.14026.20270 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления

-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления

--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.

 

Выполните рекомендованное, и на этом закончим.

[Кеша]

Большое спасибо

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".