Решена Подозрение на скрытый майнер
- Автор темы Gumanoid
- Дата начала
Переводчик Google
- Статус
- Сообщения
- 8,920
- Решения
- 3
- Реакции
- 5,892
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.7z из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Пофиксите в HJT (некоторые строки могут отсутствовать):
Соберите новый CollectionLog Автологгером в обычном режиме загрузки.
Покажите лог сканирования
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Код:
begin
QuarantineFile('C:\Users\user\AppData\Local\Programs\e3ce37514998\6ca9925c7e.msi', '');
DeleteFile('C:\Users\user\AppData\Local\Programs\e3ce37514998\6ca9925c7e.msi', '64');
DeleteFile('C:\ProgramData\quality-tidings\bin.exe', '64');
DeleteFile('C:\ProgramData\powerful-warrior\bin.exe', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\CsaMspSvc_23b0a3\Parameters', 'ServiceDll', 'x64');
DeleteSchedulerTask('EdgeUpdate');
DeleteSchedulerTask('EdgeUpdateTaskUser');
DeleteSchedulerTask('MaintenanceSystemApps\MaintenanceUninstalledSystemApps');
DeleteSchedulerTask('MaintenanceUninstalledSystemApps');
DeleteSchedulerTask('notes-keep-S-1-5-21-705177890-1147294348-2339927788-1001');
DeleteSchedulerTask('perceive-throne');
DeleteSchedulerTask('survive-thunder');
ClearHostsFile;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.К сообщению прикреплять файл quarantine.7z не нужно!
Пофиксите в HJT (некоторые строки могут отсутствовать):
Код:
O1 - Hosts: Reset contents to default
O2 - HKLM\..\BHO: GBHO.BHO - {45d30484-7ded-43d9-957a-d2fd1f046511} - C:\WINDOWS\system32\mscoree.dll (sign: 'Microsoft')
O3 - HKLM\..\Toolbar: Smart Backup - {1d09c093-f71e-43c3-b948-19316cbd695e} - C:\WINDOWS\system32\mscoree.dll (sign: 'Microsoft')
O4 - ActiveSetup: HKLM\..\{3961E42E-3903-431D-8DB3-B786F8AED2F7}: [StubPath] = "C:\Users\user\AppData\Local\360extremebrowser\Chrome\Application\22.3.5068.64\Installer\setup.exe" --configure-user-settings --verbose-logging --system-level (file missing)
O4 - HKCU\..\StartupApproved\Run: [InputMapper] = C:\Program Files (x86)\DSDCS\InputMapper 1.7\InputMapper.exe (file missing) (2025/03/17)
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations2] = *2\??\C:\Users\user\AppData\Local\Temp\98F0E2C0-1D4E01FC-FD715CB4-D993077C\ZjhahLtqiq -> DELETE (file missing)
O4 - MountPoints2: HKCU\..\{77ac6aa1-9f36-11ef-b865-feb0de73cc23}\shell\AutoRun\command: (default) = H:\setup.exe (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^®.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.Windows\.ContentDeliveryManager_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks: MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^®.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Windows\.ContentDeliveryManager_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks: perceive-throne - C:\ProgramData\quality-tidings\bin.exe /H (file missing)
O22 - Tasks: survive-thunder - C:\ProgramData\powerful-warrior\bin.exe /H (file missing)
O22 - Tasks_Migrated: \MaintenanceSystemApps\MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^®.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.MicrosoftEdgeDevToolsClient_ \\Microsoft\.Windows\.ContentDeliveryManager_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: EdgeUpdate - C:\WINDOWS\system32\cmd.exe /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable (sign: 'Microsoft')
O22 - Tasks_Migrated: EdgeUpdateTaskUser - C:\Windows\System32\wscript.exe /b "C:\ProgramData\Microsoft\wext.vbs" (sign: 'Microsoft')
O22 - Tasks_Migrated: MaintenanceUninstalledSystemApps - C:\WINDOWS\System32\cmd.exe /d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^®.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Windows\.ContentDeliveryManager_"')do reg.exe delete "%I" /f >nul 2>&1||set err=1)&(exit !err!)" (sign: 'Microsoft')
O22 - Tasks_Migrated: RunGame - C:\Program Files\Client Helper\Client Helper.exe /schtask
O23 - Service S2: CsaMspAgnt_e7f35f - (CsaMspSvc_23b0a3) - C:\WINDOWS\SysWOW64\svchost.exe -k DcomLaunch; "ServiceDll" = C:\WINDOWS\SysWOW64\csamsp.dll (file missing)Соберите новый CollectionLog Автологгером в обычном режиме загрузки.
Покажите лог сканирования
после выполнения скриптов
Malwarebytes
www.malwarebytes.com
-Данные журнала-
Дата проверки: 04.04.2025
Время проверки: 19:55
Файл журнала: 3b342a32-116d-11f0-aa2e-d843ae652686.json
-Информация о ПО-
Версия: 5.2.8.173
Версия компонентов: 128.0.5184
Версия пакета обновления: 1.0.97779
Лицензия: Бесплатная версия
-Информация о системе-
ОС: Windows 11 (Build 26100.3624)
Процессор: x64
Файловая система: NTFS
Пользователь: ROVIOLIK_PC\user
-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 207777
Обнаружено угроз: 18
Помещено в карантин: 18
Затраченное время: 1 мин, 16 с
-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Отключено
Эвристика: Включено
Потенциально нежелательная программа: Обнаружение
Потенциально нежелательное изменение (PUM): Обнаружение
-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)
Модуль: 0
(Вредоносные программы не обнаружены)
Раздел реестра: 0
(Вредоносные программы не обнаружены)
Значение реестра: 1
PUP.Optional.XFinderPro.SD, HKU\S-1-5-21-705177890-1147294348-2339927788-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|oikgcnjambfooaigmdljblbaeelmekem, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
Данные реестра: 0
(Вредоносные программы не обнаружены)
Поток данных: 0
(Вредоносные программы не обнаружены)
Папка: 2
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\EXTENSIONS\oikgcnjambfooaigmdljblbaeelmekem, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
Файл: 15
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , E6BA8AF6D0B0B72070BB8535E9461872, EE92E662C70038AC35458DDF32EECE469CE7ED74E7B139FBF68DFF56160C839E
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , 34F4379ED3C68B44035A031D103AED41, 5AD33CBA98F3EF7135803F439AC644830528D9F1B2734AA737CFE9994F020EB6
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9F4A02D866AA618A8D280CFFA6B24E70, 74498D53DE7DE9CC184DA52DE6665367A5AA4CC5013261A4B99B099D79B449A2
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000018.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 962B61BF612289EB96784D379DE0D9AE, 390CB8F124296B2BE8941173CB5351B466F13D55CE51D5E382E4E70DCCA5A713
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000021.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9CE1DC6865CC219A12A1A64E87530F0E, 7C3A7A6A4E55F0D556C3D9866DAB5C359C8F5FBFBA5C8AC1D81AC90C76B2BE4F
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000023.log, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9819D5729A4FDDA84FA501EEF4522B3A, 400564B2765FFFA440403460E572E97D79F18C5C664EEF75E97ACCDBEC9A155E
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000024.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 715CA3EE9AFE4F131DEB2063D36BBE42, 18B92262D19FC107BDE67F846B5F315F0B5608CB0C050843CFD212A18F6E262E
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 0BF589545A4A64DBA58409BADAE502B5, 7963A9CD95D74404E8DF5D38F731CA280CDF065525A9CB5F84B098DB6E3E7E64
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 02A42D0ACD878CF85AA499C582BCCE61, 130DAAA2C25FDBAA20800EC96E1B9CD84D94C037B0C929FB8702370688378F2A
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 40A7BE1D330D8AAA6B0DA579DE84228B, 677184B6DC606ED766E56DEDA7439EC72AE4599FF81E71CFAB8D19A7A2860FCE
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , 34F4379ED3C68B44035A031D103AED41, 5AD33CBA98F3EF7135803F439AC644830528D9F1B2734AA737CFE9994F020EB6
PUP.Optional.Utorrent, C:\USERS\USER\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_47196.EXE, Помещено в карантин, 9943, 1302334, 1.0.97779, , ame, , 34AF99C9956F974739BFB31E371E728F, E03AE3C4F36D846728792117524292B12A6B50E6313217785B0D41CF7D29C2C4
Malware.AI.1603000777, C:\USERS\USER\APPDATA\LOCAL\TEMP\IS-RJNMH.TMP\ISHASH.DLL, Помещено в карантин, 1000000, 0, 1.0.97779, 3C78D60670A062515F8BD9C9, dds, 03291291, AA92CA701521381DDA5EC7440095EA66, 7EE0424EB33BF9127A5B34205E094E63E62997FE6B4F2C363226F9D8D1B13D4E
Физический сектор: 0
(Вредоносные программы не обнаружены)
Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)
(end)
Malwarebytes
www.malwarebytes.com
-Данные журнала-
Дата проверки: 04.04.2025
Время проверки: 19:55
Файл журнала: 3b342a32-116d-11f0-aa2e-d843ae652686.json
-Информация о ПО-
Версия: 5.2.8.173
Версия компонентов: 128.0.5184
Версия пакета обновления: 1.0.97779
Лицензия: Бесплатная версия
-Информация о системе-
ОС: Windows 11 (Build 26100.3624)
Процессор: x64
Файловая система: NTFS
Пользователь: ROVIOLIK_PC\user
-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 207777
Обнаружено угроз: 18
Помещено в карантин: 18
Затраченное время: 1 мин, 16 с
-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Отключено
Эвристика: Включено
Потенциально нежелательная программа: Обнаружение
Потенциально нежелательное изменение (PUM): Обнаружение
-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)
Модуль: 0
(Вредоносные программы не обнаружены)
Раздел реестра: 0
(Вредоносные программы не обнаружены)
Значение реестра: 1
PUP.Optional.XFinderPro.SD, HKU\S-1-5-21-705177890-1147294348-2339927788-1001\SOFTWARE\GOOGLE\CHROME\PREFERENCEMACS\Default\extensions.settings|oikgcnjambfooaigmdljblbaeelmekem, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
Данные реестра: 0
(Вредоносные программы не обнаружены)
Поток данных: 0
(Вредоносные программы не обнаружены)
Папка: 2
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\EXTENSIONS\oikgcnjambfooaigmdljblbaeelmekem, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
Файл: 15
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , E6BA8AF6D0B0B72070BB8535E9461872, EE92E662C70038AC35458DDF32EECE469CE7ED74E7B139FBF68DFF56160C839E
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , 34F4379ED3C68B44035A031D103AED41, 5AD33CBA98F3EF7135803F439AC644830528D9F1B2734AA737CFE9994F020EB6
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9F4A02D866AA618A8D280CFFA6B24E70, 74498D53DE7DE9CC184DA52DE6665367A5AA4CC5013261A4B99B099D79B449A2
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000018.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 962B61BF612289EB96784D379DE0D9AE, 390CB8F124296B2BE8941173CB5351B466F13D55CE51D5E382E4E70DCCA5A713
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000021.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9CE1DC6865CC219A12A1A64E87530F0E, 7C3A7A6A4E55F0D556C3D9866DAB5C359C8F5FBFBA5C8AC1D81AC90C76B2BE4F
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000023.log, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 9819D5729A4FDDA84FA501EEF4522B3A, 400564B2765FFFA440403460E572E97D79F18C5C664EEF75E97ACCDBEC9A155E
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000024.ldb, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 715CA3EE9AFE4F131DEB2063D36BBE42, 18B92262D19FC107BDE67F846B5F315F0B5608CB0C050843CFD212A18F6E262E
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 46295CAC801E5D4857D09837238A6394, 0F1BAD70C7BD1E0A69562853EC529355462FCD0423263A3D39D6D0D70B780443
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , ,
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 0BF589545A4A64DBA58409BADAE502B5, 7963A9CD95D74404E8DF5D38F731CA280CDF065525A9CB5F84B098DB6E3E7E64
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 02A42D0ACD878CF85AA499C582BCCE61, 130DAAA2C25FDBAA20800EC96E1B9CD84D94C037B0C929FB8702370688378F2A
PUP.Optional.XFinderPro.SD, C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Помещено в карантин, 7701, 1167617, 1.0.97779, , ame, , 40A7BE1D330D8AAA6B0DA579DE84228B, 677184B6DC606ED766E56DEDA7439EC72AE4599FF81E71CFAB8D19A7A2860FCE
PUP.Optional.XFinderPro.SD, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Preferences, Перезаписано, 7701, 1167617, 1.0.97779, , ame, , 34F4379ED3C68B44035A031D103AED41, 5AD33CBA98F3EF7135803F439AC644830528D9F1B2734AA737CFE9994F020EB6
PUP.Optional.Utorrent, C:\USERS\USER\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_47196.EXE, Помещено в карантин, 9943, 1302334, 1.0.97779, , ame, , 34AF99C9956F974739BFB31E371E728F, E03AE3C4F36D846728792117524292B12A6B50E6313217785B0D41CF7D29C2C4
Malware.AI.1603000777, C:\USERS\USER\APPDATA\LOCAL\TEMP\IS-RJNMH.TMP\ISHASH.DLL, Помещено в карантин, 1000000, 0, 1.0.97779, 3C78D60670A062515F8BD9C9, dds, 03291291, AA92CA701521381DDA5EC7440095EA66, 7EE0424EB33BF9127A5B34205E094E63E62997FE6B4F2C363226F9D8D1B13D4E
Физический сектор: 0
(Вредоносные программы не обнаружены)
Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)
(end)
Последнее редактирование:
- Сообщения
- 8,920
- Решения
- 3
- Реакции
- 5,892
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
- Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
- Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
- Сообщения
- 8,920
- Решения
- 3
- Реакции
- 5,892
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Деинсталлируйте следующие программы:
Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKU\S-1-5-21-705177890-1147294348-2339927788-1001\...\MountPoints2: {77ac6aa1-9f36-11ef-b865-feb0de73cc23} - "H:\setup.exe"
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-705177890-1147294348-2339927788-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-705177890-1147294348-2339927788-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ndidogegapfaolpcebadjknkdlladffa]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd
U4 npcap_wifi; отсутствует ImagePath
2025-03-20 21:24 - 2025-03-20 21:24 - 000000000 ____D C:\ProgramData\XdbbnlBJHVLDfPX
2025-03-16 12:30 - 2025-04-06 15:01 - 000000000 ____D C:\Program Files\Client Helper
2025-03-16 12:41 - 2024-09-21 22:18 - 000014803 _____ C:\Users\user\ex-list2.json
2025-03-31 17:01 C:\Program Files\RDP Wrapper
2025-03-31 17:01 C:\ProgramData\RDP Wrapper
2025-03-31 17:01 C:\ProgramData\Setup
2025-03-31 17:01 C:\ProgramData\Windows Tasks Service
2025-03-31 17:01 C:\ProgramData\WindowsTask
Chunk Victim Lock 4.5.6.847 (HKLM-x32\...\{dfd2a276-4b0a-46f8-aa0e-35c3549b2544}) (Version: 4.5.6.847 - Barrientos y Redondo e Hija e Hija) Hidden
Link Reflector 4.9.67.184 (HKLM-x32\...\{9f36d5c1-6a6f-476f-958c-5b4a6212f182}) (Version: 4.9.67.184 - Terry-Gibson Ltd) Hidden
Notes Keep Sticky Thoughts in Google Drive 1.0.0.0 (HKU\S-1-5-21-705177890-1147294348-2339927788-1001\...\{e21fc34f-5740-4f68-9173-da8050a36214}) (Version: 1.0.0.0 - Notes Keep Sticky Thoughts in Google Drive) Hidden
ShellServiceObjects: Нет имени -> {C2796011-81BA-4148-8FCA-C6643245113F} =>
CustomCLSID: HKU\S-1-5-21-705177890-1147294348-2339927788-1001_Classes\CLSID\{0002DF01-0000-0000-C000-000000000046}\localserver32 -> "C:\Users\user\AppData\Local\360extremebrowser\Chrome\Application\360extremebrowser.exe" => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17 (2)\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Standard 21.18] -> {2962565E-CA75-4BF1-B282-AE912144D3DA} => -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17 (2)\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Standard 21.18] -> {2962565E-CA75-4BF1-B282-AE912144D3DA} => -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17 (2)\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Standard 21.18] -> {2962565E-CA75-4BF1-B282-AE912144D3DA} => -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17 (2)\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Standard 21.18] -> {2962565E-CA75-4BF1-B282-AE912144D3DA} => -> Нет файла
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Деинсталлируйте следующие программы:
Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).
- Сообщения
- 8,920
- Решения
- 3
- Реакции
- 5,892
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
- Сообщения
- 8,920
- Решения
- 3
- Реакции
- 5,892
Обновите программы:
Malwarebytes version 5.2.8.173 v.5.2.8.173 Внимание! Скачать обновления
AnyDesk v.ad 9.0.2 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
AmneziaVPN v.4.8.2.3 Внимание! Скачать обновления
GOM Player v.2.3.106.5376 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
Google Chrome v.134.0.6998.178 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Malwarebytes version 5.2.8.173 v.5.2.8.173 Внимание! Скачать обновления
AnyDesk v.ad 9.0.2 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
AmneziaVPN v.4.8.2.3 Внимание! Скачать обновления
GOM Player v.2.3.106.5376 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
Google Chrome v.134.0.6998.178 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
- Статус