[РЕШЕНО] Вирус Puzzle Mediа жрет оперативку

[DarDOne]

Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"

CollectionLog-2021.10.17-03.47.zip

Изменено 17 октября, 2021 пользователем DarDOne

[thyrex]

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = Software_Reporter_Tool.exe (disabled)
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 37.1.207.126
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} - \NoAdsLogonUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F19BE97C-E56D-4CBE-B0E0-69AA9EEC9C28} - \MicrosoftEdgeUpdateTaskMachineCore (no xml)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[DarDOne]

Выполнил

CollectionLog-2021.10.17-04.33.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[DarDOne]

Выполнил

FRST64.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\dardl\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-08-28] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
2021-10-16 07:09 - 2021-10-17 03:39 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-08-28 16:53 - 2021-10-16 22:15 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-08-28 16:53 - 2021-10-16 04:28 - 000000000 ____D C:\ProgramData\RobotDemo
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[DarDOne]

Код только в буфер обмена, никуда вставлять не надо было?

Fixlog.txt

[thyrex]

Проблема решена?

[DarDOne]

Решена, ещё раз проверил, вирусов не найдено.

Изменено 17 октября, 2021 пользователем DarDOne

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[DarDOne]

SecurityCheck.txt

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  NoAds 1.0.0.0 (HKLM-x32\...\{688321c8-657d-47a3-8cba-17254783a894}) (Version: 1.0.0.0 - NoAds) Hidden
  victory thank 2.2.5.88 (HKLM-x32\...\{0e8c9d58-bd7f-4162-9c07-c55491f47669}) (Version: 2.2.5.88 - Serra, Garibay y Sepúlveda SRL y Flia.) Hidden
  Whitelax 1.3.9.97 (HKLM-x32\...\{bff5d0d3-4c45-4fe0-a8a9-8e3184d007dc}) (Version: 1.3.9.97 - Sanna-Conte s.r.l. SPA) Hidden
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее

Цитата

 

NoAds 1.0.0.0

victory thank 2.2.5.88

Whitelax 1.3.9.97

 

Удалите их. Не получится стандартно, удаляйте принудительно через Geek Uninstaller

 

Также деинсталлируйте нежелательные:

Цитата

 

Driver Booster 7.6.0.766

Unchecky v1.2

 

 

[DarDOne]

Fixlog.txt

NoAds 1.0.0.0

victory thank 2.2.5.88

Whitelax 1.3.9.97

этих программ не нашел и в Geek Uninstaller их нет

[thyrex]

Попробуйте найти все упоминания указанных программ поиском в реестре и удалите найденные записи

[DarDOne]

нашел по паре на  каждую и удалил