[РЕШЕНО] Вирус майнер powershell.exe на процессор

[dubuu]

При открывании диспетчера задач прячется, видно только сторонним

CollectionLog-2022.01.25-09.35.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\MUI\163546389');
 DeleteSchedulerTask('Microsoft\Windows\MUI\1750695736');
 DeleteSchedulerTask('Microsoft\Windows\PI\PI');
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[dubuu]

Сделал все как вы сказали

CollectionLog-2022.01.25-10.01.zip

[Sandor]

Дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[dubuu]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  Task: {1C8B329C-1F9B-4426-8ADD-DF65C85D0457} - System32\Tasks\Microsoft\Windows\PI\PI => powershell.exe -c "$IPOgT='v23EQopQvSiUV5QNjV3fUMlb3FLTVJhNphWfXacSgm+aYKpS63WPZvFPtgWMOtIFmjOXDvNh0UTMRsZC3EjGQthGxkLbUrtaqGekKPYX73TDT9cH43KfDJ5Ti2avFI4GiQSNXpgYmE+BTcwZyjGfYeRi5m+UbbwHgxCZZuQN0EeQTa98xEKUBYQcwVSaTbMjkQOcFf9PwnftJMkG+VacEY0F/2mlWsE+i3bhFZtKzAXBS8wCxjGEHIcHqX+Ne9hk9m+JZv8VxUSedekTnVjBE6VNigOIMY8V (запись имеет ещё 3549 символов).
  Task: {A615B7E5-27B6-4047-AB3B-E5D8C4783A78} - System32\Tasks\Microsoft\Windows\MUI\1750695736 => powershell.exe -c "1543613767;$YOVj='SeSuTJ)jfqLxas.iyK(JaieqxQ';$rep_var='[&(ygc0m aA*0-T3y*4)._Na9me) (=''__us-0i{n),g __S=y6/st/ce_m5f;u_{siiybng__ gS__ysrhteef_m.__I,Oig;u_.smi_qng+_ bS[tys__tde?_m.lkRiuqynt]liwmf7e.y/I_n6tte_3rvo?}pSl!e_r_0vi__c_e,cs;_vutsgqin_8gk {6Mirqchr__os0po/fd_t.4)Wfin+n3-q2b;+-pu/wb_l (запись имеет ещё 2500 символов).
  CHR StartupUrls: Default -> "hxxps://vk.com/im?peers=139516936_c46_c64_245366278_136049823_56026904_c65&sel=c62","hxxps://vk.com/im?sel=307304384","chrome://newtab/","hxxps://stepik.org/catalog?q=%D0%BC%D0%B0%D1%82%D0%B5%D0%BC%D0%B0%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B9%20%D0%B0%D0%BD%D0%B0%D0%BB%D0%B8%D0%B7","hxxps://stepik.org/course/716/promo","hxxps://stepik.org/course/711/promo","hxxps://www.google.com/search?newwindow=1&rlz=1C1SQJL_ruRU857RU857&sxsrf=ACYBGNRf0PVenr39jEA8oYJvAERW8IM_Lg%3A1568740374313&ei=FhSBXdTTEtuHwPAPkO-viAw&q=%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80+%D0%BE+%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B8+%D1%81%D1%81%D1%81%D1%80+1922&oq=%D0%B4%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80+%D0%BE+%D1%81%D0%BE%D0%B7%D0%B4%D0%B0%D0%BD%D0%B8%D0%B8+%D1%81%D1%81%D1%81%D1%80+1922&gs_l=psy-ab.3..35i39j0i22i30l6.11153.12417..12753...0.2..0.126.672.2j4......0....1..gws-wiz.......0i71.0v38eMWHxEc&ved=0ahUKEwjUtoWmrdjkAhXbAxAIHZD3C8EQ4dUDCAs&uact=5","hxxp://doc.histrf.ru/20/deklaratsiya-i-dogovor-ob-obrazovanii-soyuza-sovetskikh-sotsialisticheskikh-respublik/","hxxps://ru.wikisource.org/wiki/%D0%94%D0%BE%D0%B3%D0%BE%D0%B2%D0%BE%D1%80_%D0%BE%D0%B1_%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B8_%D0%A1%D0%BE%D1%8E%D0%B7%D0%B0_%D0%A1%D0%BE%D0%B2%D0%B5%D1%82%D1%81%D0%BA%D0%B8%D1%85_%D0%A1%D0%BE%D1%86%D0%B8%D0%B0%D0%BB%D0%B8%D1%81%D1%82%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D1%85_%D0%A0%D0%B5%D1%81%D0%BF%D1%83%D0%B1%D0%BB%D0%B8%D0%BA"
  Folder: C:\ProgramData\Extensions
  FirewallRules: [{ED537BA2-22D7-4C68-84AE-967F4403F118}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{6C270BC1-5402-4250-9AE6-B0BD07AB2BC8}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{99516214-F486-4203-B3FC-2297CB38B0EA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{FB74404D-A9FE-45D2-92E7-746040380EED}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{E447C7E9-38A2-45E4-845C-91F3B6CF6ABA}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{9988C843-EFA8-4BF1-A73D-30DAD54E47D4}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  FirewallRules: [{4405E540-D736-4915-8552-EA2199C97869}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
  FirewallRules: [{B396DD8C-C26F-411F-B43D-3CB6300A1B0A}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[dubuu]

Fixlog.txt

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

[dubuu]

FRST.txt Addition.txt

[Sandor]

Программу Extensions for Windows ставили самостоятельно?

 

Что сейчас с проблемой?

[dubuu]

Программу ставил самостоятельно, спустя время майнер не запускается, значит проблема решена, спасибо!

[Sandor]

Хорошо, только в завершение и на будущее проделайте:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[dubuu]

SecurityCheck.txt

[Sandor]

---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.4.11.149 v.4.4.11.149 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.33.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
Foxit Reader v.10.1.1.37576 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent 4.3.3 v.4.3.3 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.70.2254, 12.08.2021 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v5.84.9126 v.5.84.9126 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

Читайте Рекомендации после удаления вредоносного ПО

[dubuu]

Прочитал, инструменты удалил, программы обновил