Решена Подозрение на майнер или вирус

[DreamUser]

Доброго времени суток. Собрал свежую сборку. Были установлены: все драйвера, пиратский MS Office, отдельно MS Project, пиратский фотошоп, пиратский BPWin (который в последствии был удален, из-за подозрения на вирус) (это приложения, которые могут вызвать подозрения).
Проблема: увеличение оборотов кулера на процессоре, и последующее снижение, после открытия диспетчера задач (стандартная ситуация). При открытии ДЗ процессор может в моменте находится в 40-50% загруженности (процессор без видеоядра). Также видеокарта в моменте загружена на 40-100% (при этом кулера на видеокарте не крутятся. температура 40-45 градусов). После открытия ДЗ все успокаивается и приходит в норму (т.е. обороты снижаются и нагрузка падает). Ситуация для меня нетипичная, поэтому обращаюсь в Вам.
Логи прилагаю:

 

[akok]

Пока ничего плохого
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[DreamUser]

Отчеты:

 

[Sandor]

Тут тоже ничего подозрительного (вирусоподобного).

Проверьте, наблюдается ли подобное при загрузке в безопасном режиме и сообщите результат.

 

[DreamUser]

В безопасном режиме данное явление не наблюдается. Загрузка процессора, при открытии, не поднимается выше 11-15%. Мониторинг видеокарты недоступен.

 

[regist]

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

2) Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

 

[DreamUser]

1) Ссылка на virusinfo_auto_<имя_ПК>.zip: virusinfo_auto_DREAM.zip
2) После выполнения указанных действий, службу вызывающую данное явление определить не удалось (т.е. в конечном итоге, при отключении всех служб, проблема осталась)

Записал видео, как проявляется проблема (ссылку прилагаю). Заметил, что в простое, процессор держит частоту 4.7 ГГц и как раз в тандеме 1000 оборотов на кулере. При открытии ДЗ ситуация меняется (с записью не так явно).

P.S. Ранее обращался в другой раздел на данном форуме, с проблемой писка БП (проблема на данный момент еще не решена. к продавцу не обращался, т.к. ПК был необходим в рабочем состоянии). Сейчас решил снять заднюю крышку и еще раз прослушать писк. Писк есть, но при этом еще обратил внимание на звук исходящий от материнской платы (задняя сторона сокета). Звук характера "фона", как бы исходит звук еле слышного фона, или по другому "бег тока" мб (возможно причиной является ранее упомянутый БП). Данная информация другой тематики, но решил добавить, т.к. возможно она несет в себе какую-нибудь ценность.

 

[regist]

C:\Program Files\Google\Chrome\updater.exe

Послал на анализ, жду ответа.

 

[DreamUser]

На самом деле, подозревал этот файл. Даже был удален. Т.к. браузер гугл не устанавливал. Была похожая ситуация на ноутбуке, с гуглом, но после нескольких вирусфайндеров, вроде проблема решилась (производил перенос некоторых файлов с ноутбука на пк). Если виновник он, то тогда придется сканировать и ноутбук...

 

[regist]

C:\Program Files\Google\Chrome\updater.exe

Послал на анализ, жду ответа.

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
Trojan.Win64.Agent.qwifdo

 

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Google\Chrome\updater.exe', '');
 QuarantineFileF('C:\Program Files\Google\Chrome\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
ExecuteSysClean;
  if FileExists (GetAVZDirectory+'quarantine.7z') then DeleteFile(GetAVZDirectory+'quarantine.7z');
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

[DreamUser]

Имя карантин-а(ов) : 2023.03.26_quarantine_5892911de91eedab1926941e99e74c3f.7z

Логи:

 

[DreamUser]

На данный момент заметил: отсутствие изменения оборотов на кулере процессора при открытии\закрытии ДЗ; снижение частоты процессора в простое; снижение температуры на CPU Package (на +-20 градусов); снижение температуры на CPU (на +-8-10 градусов). Но все такая же нагрузка в моменте 80-100% на видеокарте, при открытии ДЗ.

 

[regist]

C:\Program Files\Google\Chrome\

В этой папке файлы остались?

 

[DreamUser]

Один файл. Могу удалять папку?

 

[regist]

Да, удалите эту папку вручную.

• Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

 

[DreamUser]

Файл:

 

[Sandor]

По возможности исправьте:
--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.708 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

 

[DreamUser]

--------------------------------- [ P2P ] ---------------------------------
uTorrent Web v.1.3.0 - Деинсталлировал.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.1.5.708 - Обновил.
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 - Деинсталлировал.

Деинсталляцию производил с помощью "Установка и удаление программ" (этого достаточно?).

 

[Sandor]

этого достаточно?

Вполне.