Там явно 2 майнера погуляли. Один - старый знакомый, запущен 2023-11-18 15:06, от него уже кроме залоченных папок
2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask
ничего не осталось.Dr. Web Cureit, Eset Online Scanner или KVRT с ним уже справились.
А вот 2023-11-19 01:58 уже признаки другого, более хитрого майнера. Инжектирует в системные процессы, find.exe, ping.exe (в момент сбора логов FRST) и другие. Это его служба:
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
Маскируется под библиотеку от MS. А сам майнер здесь: C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4 Там должен быть толстенький такой .exe файл 160 и более Мб, который не очень жалуют антивирусы, и песочницы на VT не обрабатывают.
Lazertank
Выделите и скопируйте в буфер обмена следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {82EF8572-6EF8-43C7-A8FE-189247F5B3F3} - System32\Tasks\processed-postcard => C:\ProgramData\presentation-pressed\bin.exe /H (Нет файла)
R2 EvntAgntSvc_b9ac91; C:\WINDOWS\SysWOW64\evntagnt.dll [106512 2023-11-19] (Microsoft Corporation) [Файл не подписан]
2023-11-11 02:00 - 2023-11-11 02:00 - 000000000 ____D C:\ProgramData\nJVRPVjplpdfNRV
2023-11-11 01:57 - 2023-11-11 02:02 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\present-preston
2023-11-19 01:59 - 2023-11-19 13:53 - 000000000 __SHD C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
2023-11-19 01:58 - 2023-11-19 01:58 - 001106650 _____ C:\WINDOWS\SysWOW64\srms715.dat
2023-11-19 01:58 - 2023-11-19 01:58 - 000106512 _____ (Microsoft Corporation) C:\WINDOWS\SysWOW64\evntagnt.dll
2023-11-11 01:57 - 2023-11-11 01:57 - 000003458 _____ C:\WINDOWS\system32\Tasks\processed-postcard
CHR HKU\S-1-5-21-3809536607-2488274261-2127294217-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [echjgnggfpiohepohkpfknhjbnccdjlo]
2023-11-18 15:06 C:\Program Files\RDP Wrapper
2023-11-18 15:06 C:\Program Files (x86)\360
2023-11-18 15:06 C:\ProgramData\RDP Wrapper
2023-11-18 15:06 C:\ProgramData\ReaItekHD
2023-11-18 15:06 C:\ProgramData\Setup
2023-11-18 15:06 C:\ProgramData\Windows Tasks Service
2023-11-18 15:06 C:\ProgramData\WindowsTask
G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\DataSyncPlus-787450d7-6753-446c-863f-08dc6bba00f4
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\WINDOWS\SysWOW64
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Custom Setups Online v1.9.EXE
DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|G:\delta\Delta_App_Online_v1.1.0.EXE
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз
Исправить и подождите. Программа создаст лог-файл (
Fixlog.txt), прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.
Содержимое папки C:\FRST\Quarantine упакуйте с паролем virus и отправьте в облако, ссылку пока не публикуйте здесь, куда и как лучше отправить для проверки в вирлаб, тут подскажут.