Тема закрыта
Newbie
Отправлено 13 Сентябрь 2024 - 18:17
Добрый день,
Поймал майнинговый вирус, Cureit не помогает, если лечить/удалять/перемещать, то после перезагрузки всё появляется вновь, помимо BtcMine Cureit определяет еще несколько Autotit
По ссылке прикрепляю логи - https://disk.yandex.ru/d/XoXvn0Qtu_bSFg
Надеюсь на вашу помощь, спасибо!
Poster
Отправлено 13 Сентябрь 2024 - 18:17
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
Foreign Member
Отправлено 13 Сентябрь 2024 - 21:34
Доброго дня подготовьтесь пожалуйста еще дополнительную логи FRST`.
Global Malware Hunting.
Newbie
Отправлено 13 Сентябрь 2024 - 23:29
Не прикрепляется, выложил по той же ссылке, что и предыдущие логи
https://disk.yandex.ru/d/XoXvn0Qtu_bSFg
Foreign Member
Отправлено 14 Сентябрь 2024 - 00:33
Start::
CreateRestorePoint:
CloseProcesses:
Virusscan: C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_11.2405.2.0_x64__8wekyb3d8bbwe\CalculatorApp.exe
Virusscan: C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\MasterDataN.bat
Virusscan: C:\Program Files (x86)\LEGEND Gaming Mouse\hid.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Unlock: C:\FRST
2024-09-10 16:18 C:\Program Files\AVAST Software
2024-09-10 16:18 C:\Program Files\AVG
2024-09-10 16:18 C:\Program Files\Bitdefender Agent
2024-09-10 16:18 C:\Program Files\ByteFence
2024-09-10 16:18 C:\Program Files\Cezurity
2024-09-10 16:18 C:\Program Files\COMODO
2024-09-10 16:18 C:\Program Files\DrWeb
2024-09-10 16:18 C:\Program Files\Enigma Software Group
2024-09-10 16:18 C:\Program Files\EnigmaSoft
2024-09-10 16:18 C:\Program Files\ESET
2024-09-10 16:18 C:\Program Files\HitmanPro
2024-09-10 16:18 C:\Program Files\Kaspersky Lab
2024-09-10 16:18 C:\Program Files\Loaris Trojan Remover
2023-06-23 16:05 C:\Program Files\Malwarebytes
2024-09-10 16:18 C:\Program Files\NETGATE
2024-09-10 16:18 C:\Program Files\Process Hacker 2
2024-09-10 16:18 C:\Program Files\Process Lasso
2024-09-10 16:18 C:\Program Files\QuickCPU
2024-09-10 16:18 C:\Program Files\Rainmeter
2024-09-10 16:18 C:\Program Files\Ravantivirus
2024-09-10 16:18 C:\Program Files\ReasonLabs
2024-09-10 16:18 C:\Program Files\RogueKiller
2024-09-10 16:18 C:\Program Files\SpyHunter
2024-09-10 16:18 C:\Program Files\SUPERAntiSpyware
2024-09-10 16:18 C:\Program Files\Transmission
2024-09-10 16:18 C:\Program Files (x86)\360
2024-09-10 16:18 C:\Program Files (x86)\AVAST Software
2024-09-10 16:18 C:\Program Files (x86)\AVG
2024-09-10 16:18 C:\Program Files (x86)\Cezurity
2024-09-10 16:18 C:\Program Files (x86)\GPU Temp
2024-09-10 16:18 C:\Program Files (x86)\GRIZZLY Antivirus
2024-09-10 16:18 C:\Program Files (x86)\Kaspersky Lab
2024-09-10 16:18 C:\Program Files (x86)\Microsoft JDX
2024-09-10 16:18 C:\Program Files (x86)\Moo0
2024-09-10 16:18 C:\Program Files (x86)\Panda Security
2024-09-10 16:18 C:\Program Files (x86)\SpeedFan
2024-09-10 16:18 C:\Program Files (x86)\SpyHunter
2024-09-10 16:18 C:\Program Files (x86)\Transmission
2024-09-10 16:18 C:\Program Files (x86)\Wise
2024-09-10 16:18 C:\Program Files\Common Files\AV
2024-09-10 16:18 C:\Program Files\Common Files\Doctor Web
2024-09-10 16:18 C:\Program Files\Common Files\McAfee
2024-09-10 16:18 C:\ProgramData\360safe
2024-07-11 00:31 C:\ProgramData\Avast Software
2024-09-10 16:18 C:\ProgramData\Avira
2024-09-10 16:18 C:\ProgramData\BookManager
2024-09-10 16:18 C:\ProgramData\Doctor Web
2024-09-10 16:18 C:\ProgramData\ESET
2024-09-10 16:18 C:\ProgramData\Evernote
2024-09-10 16:18 C:\ProgramData\FingerPrint
2024-09-10 16:18 C:\ProgramData\grizzly
2024-09-10 16:18 C:\ProgramData\Kaspersky Lab
2024-09-10 16:18 C:\ProgramData\Kaspersky Lab Setup Files
2024-09-10 16:18 C:\ProgramData\McAfee
2024-09-10 16:18 C:\ProgramData\Norton
2024-09-10 16:18 C:\ProgramData\princeton-produce
2024-09-10 16:18 C:\ProgramData\PuzzleMedia
2024-09-10 16:18 C:\ProgramData\RobotDemo
2024-09-10 16:18 C:\ProgramData\WavePad
2024-09-10 16:18 C:\Users\Михаил\Desktop\AutoLogger
2024-09-10 16:18 C:\Users\Михаил\Desktop\AV_block_remover
2024-09-10 16:18 C:\Users\Михаил\Downloads\AutoLogger
2024-09-10 16:18 C:\Users\Михаил\Downloads\AV_block_remover
2024-09-10 16:18 C:\Users\Михаил\AppData\Roaming\Sysfiles
U4 AppMgmt; отсутствует ImagePath
U4 CscService; отсутствует ImagePath
U4 napagent; отсутствует ImagePath
U4 PeerDistSvc; отсутствует ImagePath
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Task: {C7946B81-F635-4AF2-83D2-3B3EAE4524DB} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (Нет файла)
Task: {AEAA7705-6716-4E37-9AEE-0B22E20CCF4E} - System32\Tasks\Microsoft\Windows\WindowsBackup\RecoveryManager => C:\Windows\SysWOW64\unsecapp.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Reboot:
End::
C:\Program Files\WindowsApps\Microsoft.WindowsCalculator_11.2405.2.0_x64__8wekyb3d8bbwe\CalculatorApp.exe
C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\MasterDataN.bat
C:\Program Files (x86)\LEGEND Gaming Mouse\hid.exe
Ожидаю ваш результат выполнение скриптом.
Сообщение было изменено Alexander007: 14 Сентябрь 2024 - 00:36
Global Malware Hunting.
Advanced Member
Отправлено 14 Сентябрь 2024 - 01:24
Здравствуйте.
Задача \Microsoft\Windows\MasterDataN\RecoveryHosts
запускает файл
C:\programdata\microsoft\windows\dlz5qtmvzdxr6z\masterdatan.bat
который восстанавливает троян из файла
C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\Game.exe
который установил репак игры 10.09.2024 13:16
Foreign Member
Отправлено 14 Сентябрь 2024 - 08:25
Start::Zip: C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\Game.exeZip: C:\programdata\microsoft\windows\dlz5qtmvzdxr6z\masterdatan.batReboot:End::
Выполните по новой скрипту , вышлите мне в ЛС ( с паролем infected)
Global Malware Hunting.
Foreign Member
Отправлено 14 Сентябрь 2024 - 14:48
Start::CreateRestorePoint:CloseProcesses:FirewallRules: [{360B886C-2B10-4E8F-BA91-3E10937BCCCE}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файлаFirewallRules: [{DEA54F21-280E-4E0E-8E85-EEB5411DBD0F}] => (Allow) LPort=3389FirewallRules: [{CE774FEE-5EFB-49BE-BA89-3B0B21905D6B}] => (Allow) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{AA198EFD-2758-41A3-8A9F-E817025361CA}] => (Allow) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{E1E4A673-4877-4B25-9B8D-DA51AF7CBA3F}] => (Block) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{BD4C5B86-42C3-4446-8CC6-0238D0B73E69}] => (Block) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{AA0C8DF4-8EEB-489C-A922-5B6D264C19E8}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.161.35\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файлаCustomCLSID: HKU\S-1-5-21-2990270871-1380049418-1736575928-1001_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Михаил\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файлаFirewallRules: [{50099B3D-57A2-4BC6-B06A-5995F401E85C}] => (Allow) LPort=9494FirewallRules: [{BBAC2C8B-B34E-4A8D-BEE8-14B861CA6DE3}] => (Allow) LPort=9494FirewallRules: [{E43BB062-CF35-4F97-8942-57DEEAD60C42}] => (Allow) LPort=9393FirewallRules: [{2B2D59C9-5E0A-41EA-A02B-15D6A2C43F6C}] => (Allow) LPort=9393FirewallRules: [{ED80A3BD-7225-425B-8A7B-A15DA0C157FF}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файлаFirewallRules: [{4BA732C5-62E9-4A96-990A-917769D8E0D7}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файлаHKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"AlternateDataStreams: C:\Windows\tracing:? [16]FirewallRules: [TCP Query User{231BB60C-5CD3-4B94-89BF-9A8E1CEFF75A}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файлаFirewallRules: [UDP Query User{BEB25862-90BF-413F-8294-814664D9089D}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файлаFirewallRules: [TCP Query User{4E3E5AD5-6A71-4797-8948-71F450066492}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файлаFirewallRules: [UDP Query User{3A2CE166-446F-40EC-ABE0-FC948DCBD8B9}D:\games\mortal kombat 11\binaries\retail\mk11.exe] => (Allow) D:\games\mortal kombat 11\binaries\retail\mk11.exe => Нет файлаFirewallRules: [TCP Query User{9E096CD7-E440-4061-9F8D-331BD47F1EF4}D:\steamlibrary\steamapps\common\mortal kombat 1\mk12\binaries\win64\mk12.exe] => (Allow) D:\steamlibrary\steamapps\common\mortal kombat 1\mk12\binaries\win64\mk12.exe => Нет файлаFirewallRules: [UDP Query User{0753BE62-A0C5-44CA-8E2E-F5D68DAC0BB9}D:\steamlibrary\steamapps\common\mortal kombat 1\mk12\binaries\win64\mk12.exe] => (Allow) D:\steamlibrary\steamapps\common\mortal kombat 1\mk12\binaries\win64\mk12.exe => Нет файлаFirewallRules: [{CE774FEE-5EFB-49BE-BA89-3B0B21905D6B}] => (Allow) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{AA198EFD-2758-41A3-8A9F-E817025361CA}] => (Allow) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{E1E4A673-4877-4B25-9B8D-DA51AF7CBA3F}] => (Block) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [{BD4C5B86-42C3-4446-8CC6-0238D0B73E69}] => (Block) D:\Programs\overwolf\0.258.0.6\OverwolfBrowser.exe => Нет файлаFirewallRules: [TCP Query User{22578820-E989-4120-A769-A6FD0592721A}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файлаFirewallRules: [UDP Query User{8308C009-BCD2-414D-8824-007B846EFC81}D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Нет файлаFirewallRules: [TCP Query User{711D9B7C-18D4-488E-9243-9C6EEEAD9545}D:\games\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.exe] => (Allow) D:\games\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.exe => Нет файлаFirewallRules: [UDP Query User{AD91C70A-C55B-45EC-938E-C09C64DC1621}D:\games\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.exe] => (Allow) D:\games\freshwomen.season.1\freshwomen.season.1.build.9517981\freshwomen.exe => Нет файлаFirewallRules: [{DD1E71F9-3DAA-44AF-95E6-312E4DA2E347}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]FirewallRules: [{57DF1A56-1528-49C1-81F4-987D00D795D3}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe () [Файл не подписан]C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\Game.exeC:\programdata\microsoft\windows\dlz5qtmvzdxr6z\masterdatan.batExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\ExclusionsReboot:End::
Global Malware Hunting.
Foreign Member
Отправлено 14 Сентябрь 2024 - 14:53
C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\Game.exe. - Trojan.Packed2.47796
Выслано вирлабу
C:\programdata\microsoft\windows\dlz5qtmvzdxr6z\masterdatan.bat. - [drweb.com #11291125]
Сообщение было изменено Alexander007: 14 Сентябрь 2024 - 14:53
Global Malware Hunting.
Newbie
Отправлено 14 Сентябрь 2024 - 14:57
Прикрепляю
Fixlog.txt 21,24К
2 Скачано раз
Сообщение было изменено gess1k: 14 Сентябрь 2024 - 14:58
Foreign Member
Отправлено 14 Сентябрь 2024 - 15:01
Удалите все старые логи ( в яндексе ) - все делайте по новой .
Повторите свежую новую FRST :
Доброго дня подготовьтесь пожалуйста еще дополнительную логи FRST`.
Сообщение было изменено Alexander007: 14 Сентябрь 2024 - 15:02
Global Malware Hunting.
Foreign Member
Отправлено 14 Сентябрь 2024 - 15:29
Start::CreateRestorePoint:CloseProcesses:2024-09-10 16:18 - 2024-09-13 17:26 - 000000000 ___HD C:\Program Files\RDP Wrapper2024-09-10 16:18 - 2024-09-13 17:24 - 000000000 __SHD C:\ProgramData\Windows Tasks Service2024-09-10 16:18 - 2024-09-10 16:18 - 000000000 __SHD C:\ProgramData\MB3Install2024-09-10 16:18 - 2024-09-10 16:18 - 000000000 __SHD C:\Program Files (x86)\IObit2024-09-10 16:18 - 2024-09-10 16:18 - 000000000 __SHD C:\KVRT2020_Data2024-09-10 16:18 - 2024-09-10 16:18 - 000000000 __SHD C:\AdwCleanerTask: {E8CCE27F-D4B0-411C-8865-FCD1C316EC07} - System32\Tasks\Microsoft\Windows\MasterDataN\RecoveryHosts => C:\ProgramData\Microsoft\Windows\DlZ5QTmVzDXR6Z\MasterDataN.bat (Нет файла) <==== ВНИМАНИЕReboot:End::
Сообщение было изменено Alexander007: 14 Сентябрь 2024 - 15:29
Global Malware Hunting.
Newbie
Foreign Member
Отправлено 14 Сентябрь 2024 - 15:34
Что в итоги? Как система поживает?
Сообщение было изменено Alexander007: 14 Сентябрь 2024 - 15:35
Global Malware Hunting.
Newbie
Отправлено 14 Сентябрь 2024 - 15:36
Ну такое ощущение что он пропал, попробовал все косвенные признаки по которым я его определял, всё работает, браузер при поиске "как удалить майнер" закрываться перестал, комп не гудит, на сайт drweb пускает
Огромное спасибо!
Foreign Member
Отправлено 14 Сентябрь 2024 - 15:39
Ну такое ощущение что он пропал, попробовал все косвенные признаки по которым я его определял, всё работает, браузер при поиске "как удалить майнер" закрываться перестал, комп не гудит, на сайт drweb пускает
Огромное спасибо!
Удачи вам! Желаю вам здоровье ! Тему закрываем.
Global Malware Hunting.
Newbie
Отправлено 14 Сентябрь 2024 - 15:43
И вам тоже всего наилучшего, еще раз огромное спасибо!
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
