Решена Обнаружен троян-майнер Updater.exe в папке Chrome

ddddd

Новый пользователь
Сообщения
18
Реакции
0
Следуя по пути C:\ProgramData\Google\Chrome находится троян-майнер updater.exe, которые при его удалении или удалении папки восстанавливается снова и продолжает свою активность. Пробовал многие способу, ничего не получается. Касперский обнаружил троян, но при попытке его устранить ломает компьютер напрочь, после чего происходит перезагрузка. Пробовал также через безопасный режим решить проблему, не вышло.
 

Вложения

  • CollectionLog-2024.05.07-10.56.zip
    64.6 KB · Просмотры: 3
C:\ProgramData\Microsoft\WinDriver.cmd - знакомо?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
C:\ProgramData\Microsoft\WinDriver.cmd - знакомо?

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Да. cmd знакомый, Касперский тоже на него жаловался, однако сказал, что больше на компьютере его нет
 

Вложения

  • Addition.txt
    65.1 KB · Просмотры: 1
  • FRST.txt
    40.2 KB · Просмотры: 3
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    Virusscan: C:\Program Files (x86)\Google\GoogleUpdater\126.0.6441.0\updater.exe
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    Task: {6C071028-80CD-4C81-8B81-DBDA9FFBC97F} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [17684992 2024-05-07] () [Файл не подписан] <==== ВНИМАНИЕ
    Task: {B039D821-9774-484F-806D-C7A25BB9B4BA} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
    Task: {C007BDEC-98A4-4167-8B5F-5839BC93C77A} - System32\Tasks\WinDriver => C:\ProgramData\Microsoft\WinDriver.cmd [6585717 2024-04-26] () [Файл не подписан] ->  <==== ВНИМАНИЕ
    C:\Program Files\Google\Chrome\updater.exe
    C:\ProgramData\Microsoft\WinDriver.cmd
    S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2896848 2024-05-07] (Microsoft Corporation -> Google Inc.) [Файл не подписан] <==== ВНИМАНИЕ
    R4 WinRing0_1_2_0; C:\Windows\TEMP\rlysqcboyzcd.sys [14544 2024-05-07] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
    FCheck: C:\Program Files\Google\Libs\WR64.sys 
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После запускаете расширенную процедуру проверки и восстановления

После свежие логи FRST
 
.
 

Вложения

  • Fixlog.txt
    4.5 KB · Просмотры: 2
  • FRST.txt
    41.2 KB · Просмотры: 1
  • Addition.txt
    66.5 KB · Просмотры: 1
Ещё один скрипт выполните:
1.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    Task: {2ECD913B-F7A5-415E-81A4-ABF9F613E1F9} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-1752753030-1786401476-2143433548-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    S3 BITS_bkp; C:\Windows\System32\svchost.exe [55456 2023-11-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 BITS_bkp; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2896848 2024-05-07] (Microsoft Corporation -> Google Inc.) [Файл не подписан] <==== ВНИМАНИЕ
    S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2023-11-28] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv_bkp; C:\Windows\system32\svchost.exe [55456 2023-11-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 wuauserv_bkp; C:\Windows\SysWOW64\svchost.exe [46544 2023-11-28] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    R4 WinRing0_1_2_0; C:\Windows\TEMP\rlysqcboyzcd.sys [14544 2024-05-07] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
    C:\ProgramData\Google\Chrome\updater.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

2.
Скачайте вложенный архив, извлеките из него три reg-файла и запустите каждый по очереди. Согласитесь с внесением изменений в реестр.
Перезагрузите компьютер.

3.
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 

Вложения

  • services.zip
    3.8 KB · Просмотры: 1
.
 

Вложения

  • Fixlog.txt
    4 KB · Просмотры: 2
  • FSS.txt
    4.7 KB · Просмотры: 2
Твики реестра применились без ошибок?
Скачайте второй архив, проделайте те же операции с двумя новыми файлами. Перезагрузите компьютер.

После перезагрузки соберите новые логи FSS.txt, FRST.txt и Addition.txt
 

Вложения

  • servisec2.zip
    2.5 KB · Просмотры: 2

Вложения

  • Addition.txt
    66.5 KB · Просмотры: 3
  • FRST.txt
    40.9 KB · Просмотры: 5
  • FSS.txt
    5 KB · Просмотры: 1
После запускаете расширенную процедуру проверки и восстановления
Покажите логи тоже
По окончанию проверки будет сформирован лог sfcdoc.log в папке %windir%\Logs\CBS\
Где %windir% - это буква диска,на котором установлена система.
Так же лог файлы будут скопированы в каталог, из которого был запущен данный скрипт.
 
Система оригинальная или "г-сборка"?
 
Покажите логи тоже
По окончанию проверки будет сформирован лог sfcdoc.log в папке %windir%\Logs\CBS\
Где %windir% - это буква диска,на котором установлена система.
Так же лог файлы будут скопированы в каталог, из которого был запущен данный скрипт.
Почему-то не выдает меню с возможностью процедурой проверки и восстановления...Все перепробовал, начинает лишь проверку целостности и не более
 
Пробуем так (до выполнения скрипта все остальные запущенные программы по максимуму постарайтесь завершить):

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    U2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2023-11-28] (Microsoft Windows -> Microsoft Corporation)
    S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [2896848 2024-05-08] (Microsoft Corporation -> Google Inc.) [Файл не подписан] <==== ВНИМАНИЕ
    U3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2023-11-28] (Microsoft Windows -> Microsoft Corporation)
    U3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2023-11-28] (Microsoft Windows -> Microsoft Corporation)
    R4 WinRing0_1_2_0; C:\Windows\TEMP\rlysqcboyzcd.sys [14544 2024-05-08] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
    2024-05-07 09:32 - 2024-05-07 09:32 - 000000000 ____D C:\ProgramData\Google
    File: C:\ProgramData\driver1.exe
    2024-04-26 13:47 - 2024-04-26 15:46 - 000000036 _____ () C:\ProgramData\driver1.exe
    Folder: C:\Program Files\Google\Libs\
    C:\Program Files\Google\Libs\WR64.sys
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
.
 

Вложения

  • Fixlog.txt
    19 KB · Просмотры: 5
Сделайте следующее:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имякомпьютерадата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 
.
 

Вложения

  • DESKTOP-84PL7MH_2024-05-11_11-57-34_v4.15.2.7z
    474.3 KB · Просмотры: 2
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.15.2 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    regt 39
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.
    .
Подробнее читайте в этом руководстве.

Соберите ещё раз образ автозапуска uVS. AutorunsVTChecker уже запускать не нужно.
 
.
 

Вложения

  • DESKTOP-84PL7MH_2024-05-12_10-03-27_v4.15.2.7z
    458.4 KB · Просмотры: 3
Назад
Сверху Снизу