Словил хитрый майнер

@ElGrizzly · Регистрация: 22.01.2022

Author24 — интернет-сервис помощи студентам

Добрый вечер! По своей глупости запустил подозрительный инсталлятор, который сразу закрыл и удалил (так же в диспетчере закрыл внезапную командную строку, но не думаю что это сильно помогло).

После этого защитник виндовс выдал несколько предупреждений по поводу сбоев при исправлении Trojan:Win64/DisguisedXMRigMiner, Trojan:Win64/DisguisedCoinMiner, Trojan:Win32/Autoitinjector.S!ibt, которые находились по пути в C:\ProgramData\WindowsTask\AMD.exe, C:\ProgramData\WindowsTask\AppModule.exe, C:\ProgramData\WindowsTask\MicrosoftHost.exe, C:\ProgramData\Setup\update.exe

Так же было неясное предупреждение "угроза удалена или восстановлена" по поводу VirTool:Win32/DefenderTamperingRestore, в момент выдачи случайно отправил угрозу в карантин вместо удаления, возможно она еще осталась.
Затронутые элементы: regkeyvalue: hklm\software\policies\microsoft\windows defender\real-time protection\\DisableIOAVProtection

В результате есть следующие симптомы: хитрый майнер блочит некоторые полезные антивирусные сайты, иногда даже крашит любой браузер при заходе на например safezone.cc (при открытии cyberforum в этом самом разделе "Лечение компьютерных вирусов" тоже пытался закрыть браузер), еще закрывает диспетчер задач и в целом чувствует себя победителем.
Скорее всего, незваный гость обосновался в RealtekHD и WindowsTask.

Прикрепляю логи AutoLogger и скрин отчета Kaspersky Virus Removal Tool.

Заранее благодарю специалистов!

@thyrex · 23.01.2022, 07:46

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

Код

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\windowstask\audiodg.exe');
 TerminateProcessByName('c:\programdata\windowstask\microsofthost.exe');
 TerminateProcessByName('c:\programdata\realtekhd\taskhost.exe');
 TerminateProcessByName('c:\programdata\realtekhd\taskhostw.exe');
 QuarantineFile('C:\ProgramData\windowstask\xmrig-cuda.dll','');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe','');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe','');
 QuarantineFile('C:\ProgramData\setup\update.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\da529a10.sys','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 QuarantineFile('c:\programdata\realtekhd\taskhost.exe','');
 QuarantineFile('c:\programdata\windowstask\microsofthost.exe','');
 QuarantineFile('c:\programdata\windowstask\audiodg.exe','');
 DeleteFile('c:\programdata\windowstask\audiodg.exe','32');
 DeleteFile('c:\programdata\windowstask\microsofthost.exe','32');
 DeleteFile('c:\programdata\realtekhd\taskhost.exe','32');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','32');
 DeleteFile('C:\WINDOWS\System32\Drivers\da529a10.sys','64');
 DeleteFile('C:\ProgramData\setup\update.exe','32');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
 DeleteFile('C:\ProgramData\windowstask\xmrig-cuda.dll','32');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@ElGrizzly · 23.01.2022, 19:15 **[ТС]**

Проделал инструкции, карантин отправил, прикрепляю отчет AV и новые логи Autologger.

@thyrex · 23.01.2022, 20:01

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@ElGrizzly · 23.01.2022, 20:29 **[ТС]**

Прикрепляю файлы.

@thyrex · 23.01.2022, 20:41

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_Launcher] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4225974884-3702289468-210050356-1001\...\Run: [VKGames] => "C:\Users\kakoy\AppData\Local\Play Machine\VKApp.exe" -autostart (Нет файла)
HKU\S-1-5-21-4225974884-3702289468-210050356-1001\...\MountPoints2: {c9ec8308-883d-11e8-81e6-f46d0466cb1f} - "F:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {2D7987F3-EB88-4F00-B6D7-ABC4B932C502} - System32\Tasks\Red Giant Link => C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (Нет файла)
Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено]
Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\WINDOWS\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено]
Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено]
Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\WINDOWS\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено]
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{041F9391-C79D-44EE-AA4E-AF4E029C4B47}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.112\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{6D264B70-DA18-401D-910C-B202D89670C6}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.32\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{8B480070-D37D-4090-A063-7A429F849652}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.92\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{BE5C2E39-090F-46A2-AFAA-47540743B4FE}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.102\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{CA8FA699-91CD-412F-9D13-9B1222F4370E}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.83\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{CA919489-0396-4164-A6E7-94CDED45A707}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.52\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{DEDF773D-E27B-485E-8E7D-85C5B0EB5A67}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.36.72\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-4225974884-3702289468-210050356-1001_Classes\CLSID\{E9E7529D-7F09-410B-AF2A-CC154473B19C}\InprocServer32 -> C:\Users\kakoy\AppData\Local\Google\Update\1.3.35.453\psuser_64.dll => Нет файла
AlternateDataStreams: C:\WINDOWS\System32:tdsrinu.gfc [5882]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [223]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [492]
FirewallRules: [UDP Query User{98AD1CF0-7336-4C60-8B29-31682F841956}D:\steam\steamapps\common\kill it with fire heat wave\kani\binaries\win64\kani-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\kill it with fire heat wave\kani\binaries\win64\kani-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{B459B455-2C38-483C-88C8-40B69DE185CF}D:\steam\steamapps\common\kill it with fire heat wave\kani\binaries\win64\kani-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\kill it with fire heat wave\kani\binaries\win64\kani-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{A75D2844-CD8D-4FDA-9B17-BB13E1A6179A}D:\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [TCP Query User{5028DCCC-A005-4D62-B1F6-50F2177DE13C}D:\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [{CBE0E266-CD37-4689-8D1E-F8A2EB2DD9E7}] => (Allow) D:\Steam\steamapps\common\Iron Harvest Demo\release\IronHarvest.exe => Нет файла
FirewallRules: [{048F99D9-7DA8-474A-995B-ED0DAABABB7D}] => (Allow) D:\Steam\steamapps\common\Iron Harvest Demo\release\IronHarvest.exe => Нет файла
FirewallRules: [UDP Query User{1BB1AAAB-DB69-49AF-A8EA-BE95110349D2}D:\games\epic gay launcher\epic games\roguecompany\roguecompany\binaries\win64\roguecompany.exe] => (Allow) D:\games\epic gay launcher\epic games\roguecompany\roguecompany\binaries\win64\roguecompany.exe => Нет файла
FirewallRules: [TCP Query User{B90310E1-FEF8-4492-9116-80238183F8B9}D:\games\epic gay launcher\epic games\roguecompany\roguecompany\binaries\win64\roguecompany.exe] => (Allow) D:\games\epic gay launcher\epic games\roguecompany\roguecompany\binaries\win64\roguecompany.exe => Нет файла
FirewallRules: [{D56DE1B3-AC57-4598-BFC2-EF97B05B3ECA}] => (Block) C:\program files\java\jre1.8.0_251\bin\java.exe => Нет файла
FirewallRules: [{390E2DFE-FA0E-47C7-A8B0-6D8919658140}] => (Block) C:\program files\java\jre1.8.0_251\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{0466BB4A-B49F-4292-8ABB-1373FE4E77BC}C:\program files\java\jre1.8.0_251\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_251\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{D02A46FE-7BF6-4F8C-A10A-50E2847E959F}C:\program files\java\jre1.8.0_251\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_251\bin\java.exe => Нет файла
FirewallRules: [{BDDE1500-1E40-4467-B280-7478671F83D5}] => (Allow) C:\Users\kakoy\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{4EBDF7D5-0A91-4FC6-BEF6-5EBC0CEFD26E}] => (Block) D:\games\калибр\caliber.exe => Нет файла
FirewallRules: [{3189DAD6-7351-458A-B8EF-A26D901608C4}] => (Block) D:\games\калибр\caliber.exe => Нет файла
FirewallRules: [UDP Query User{3B2F1DCC-83FF-4864-965E-41E59FF2D162}D:\games\калибр\caliber.exe] => (Allow) D:\games\калибр\caliber.exe => Нет файла
FirewallRules: [TCP Query User{93CD1CD2-EE12-4BA1-A0D4-46E4C24D589C}D:\games\калибр\caliber.exe] => (Allow) D:\games\калибр\caliber.exe => Нет файла
FirewallRules: [{5B760A3F-8FB3-40BC-A0BB-F9EDBA5AE615}] => (Block) D:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{81133460-CFBB-466A-B6E1-2DDFB53804BF}] => (Block) D:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [UDP Query User{92A1735C-3A0C-4418-9715-AE8EB6A657ED}D:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [TCP Query User{5DCD4044-73F8-4F93-9783-24FAB501EBBC}D:\games\wargaming.net\gamecenter\wgc.exe] => (Allow) D:\games\wargaming.net\gamecenter\wgc.exe => Нет файла
FirewallRules: [{04C78294-43C2-4187-9F7D-92ED57C62A65}] => (Allow) D:\Steam\steamapps\common\Deceit\bin\win_x64\Deceit.exe => Нет файла
FirewallRules: [{5AE82849-2240-43E4-9445-3A68E8A05D01}] => (Allow) D:\Steam\steamapps\common\Deceit\bin\win_x64\Deceit.exe => Нет файла
FirewallRules: [{38A96179-A44F-4404-92EF-E6BCC9BB04B2}] => (Block) D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [{EE6D1618-BE05-491F-A4E2-029715521039}] => (Block) D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [UDP Query User{775F42D8-7F9A-47CE-934C-B92206FE029D}D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe] => (Allow) D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [TCP Query User{D425EEFE-34DD-482C-A0AC-148D175FB521}D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe] => (Allow) D:\games\viscera cleanup detail v1.14 plus all dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [UDP Query User{3F3BC2E6-C820-46C1-8657-1C4601CAA768}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [TCP Query User{E28A5087-2C44-4C34-880E-7C6BE44A7E0E}D:\games\enlisted\launcher.exe] => (Allow) D:\games\enlisted\launcher.exe => Нет файла
FirewallRules: [{87E41DCD-7817-4AF5-8852-766F30988DF1}] => (Block) D:\games\vk\vk.exe => Нет файла
FirewallRules: [{0C056D80-4E6D-49D3-9185-DDB59B32B86F}] => (Block) D:\games\vk\vk.exe => Нет файла
FirewallRules: [UDP Query User{AAC1198D-9A8B-4357-A972-476F702A143C}D:\games\vk\vk.exe] => (Allow) D:\games\vk\vk.exe => Нет файла
FirewallRules: [TCP Query User{1CC97FED-DCD4-46A6-B2D1-5225A70CB0D2}D:\games\vk\vk.exe] => (Allow) D:\games\vk\vk.exe => Нет файла
FirewallRules: [UDP Query User{0F986769-50E8-43EF-B297-D8B6352A7970}D:\games\sasalker\bin\xrengine.exe] => (Block) D:\games\sasalker\bin\xrengine.exe => Нет файла
FirewallRules: [TCP Query User{385AD44F-D318-4D80-A529-F7FE3C9EB1A2}D:\games\sasalker\bin\xrengine.exe] => (Block) D:\games\sasalker\bin\xrengine.exe => Нет файла
FirewallRules: [{3CD5CB17-4338-4321-970F-39A46D85649F}] => (Block) D:\games\mpe team\xrmpe\bin\xrengine.exe => Нет файла
FirewallRules: [{053D27D5-9E2B-445F-B4C1-F6BE55A73AB5}] => (Block) D:\games\mpe team\xrmpe\bin\xrengine.exe => Нет файла
FirewallRules: [UDP Query User{B2ADD301-9089-48C1-AF8B-E0F572C9CE96}D:\games\mpe team\xrmpe\bin\xrengine.exe] => (Allow) D:\games\mpe team\xrmpe\bin\xrengine.exe => Нет файла
FirewallRules: [TCP Query User{01FF83B6-DD94-4467-B712-E99EE61FAD6E}D:\games\mpe team\xrmpe\bin\xrengine.exe] => (Allow) D:\games\mpe team\xrmpe\bin\xrengine.exe => Нет файла
FirewallRules: [{83C2BD44-E597-4689-BD91-FF952B8B11EF}] => (Allow) D:\Games\BlackMesa\revLoader.exe => Нет файла
FirewallRules: [{DCBC5B88-24BC-41FC-B5EE-A0E3B0A135A0}] => (Allow) D:\Games\BlackMesa\revLoader.exe => Нет файла
FirewallRules: [{93D9AC41-19B7-4083-BCD5-DEA1439779E3}] => (Allow) D:\Games\BlackMesa\Run_BMS.exe => Нет файла
FirewallRules: [{CC19322E-7ABC-4FFD-ADCB-BA2B0DFF3E7D}] => (Allow) D:\Games\BlackMesa\Run_BMS.exe => Нет файла
FirewallRules: [{E51816FA-7278-426A-9954-D159A184F31F}] => (Allow) D:\Games\BlackMesa\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{01AAE6EC-1059-4E26-9E0F-B499B79A7615}] => (Allow) D:\Games\BlackMesa\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{1B16DD2D-2C5A-4EC5-966E-141053738FEE}] => (Block) D:\games\raft\raft.exe => Нет файла
FirewallRules: [{ED6E9C7A-1A8A-44F3-889E-888C3AAB8417}] => (Block) D:\games\raft\raft.exe => Нет файла
FirewallRules: [UDP Query User{5A34DAA7-ACD9-4F1B-ACEC-86C061941C81}D:\games\raft\raft.exe] => (Allow) D:\games\raft\raft.exe => Нет файла
FirewallRules: [TCP Query User{ABD60E1B-B1AB-4537-A0AD-E164A0BB05B6}D:\games\raft\raft.exe] => (Allow) D:\games\raft\raft.exe => Нет файла
FirewallRules: [{C438B70D-C4A9-46F7-A939-E496C22246BE}] => (Block) D:\steam\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [{FDB5ECDE-BAEA-423A-83D7-3F979A01C0E8}] => (Block) D:\steam\steamapps\common\war thunder\win64\aces.exe => Нет файла
FirewallRules: [{BF478073-4191-432E-B7D4-73CBCFAE93D9}] => (Block) D:\games\exbo\java\bin\exbolauncher.exe => Нет файла
FirewallRules: [{C387B394-E3BA-4C30-BBAA-4149646016E8}] => (Block) D:\games\exbo\java\bin\exbolauncher.exe => Нет файла
FirewallRules: [TCP Query User{B4271E38-BEDC-4F9B-B6FA-C1A94B2735AA}C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe] => (Allow) C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe => Нет файла
FirewallRules: [UDP Query User{167DDF4E-E14A-4018-A4AB-F9340C696898}C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe] => (Allow) C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe => Нет файла
FirewallRules: [{B044F079-4CC7-4969-BE7B-265BD318D818}] => (Block) C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe => Нет файла
FirewallRules: [{1D1BA0A6-13A0-40CB-AD65-AE2FF153EFBA}] => (Block) C:\program files\adobe\adobe media encoder cc 2019\adobe media encoder.exe => Нет файла
FirewallRules: [TCP Query User{CA123A88-8193-47BA-B62A-EC62AD564F3D}D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe] => (Allow) D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe => Нет файла
FirewallRules: [UDP Query User{B58F4DE9-6D6B-44BD-AA0B-AE2C6901BD4F}D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe] => (Allow) D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe => Нет файла
FirewallRules: [{CBE10710-46F7-4F5F-BF21-8653F6C8CD31}] => (Block) D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe => Нет файла
FirewallRules: [{BFCC6EB9-A61F-4353-80C7-F704CC289132}] => (Block) D:\games\epic gay launcher\epic games\rs2v\binaries\win64\risingstorm2.exe => Нет файла
FirewallRules: [TCP Query User{863DFA90-D31C-4FA9-AD25-75584860CE94}C:\program files\java\jre1.8.0_261\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_261\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{D1C581D8-B95E-45D3-B993-0377BED8C342}C:\program files\java\jre1.8.0_261\bin\java.exe] => (Allow) C:\program files\java\jre1.8.0_261\bin\java.exe => Нет файла
FirewallRules: [{5AC811B9-EB32-4BD5-98B5-32B9F533CBD6}] => (Block) C:\program files\java\jre1.8.0_261\bin\java.exe => Нет файла
FirewallRules: [{9A0FCF30-CEE6-401F-92BB-19F8F24CCE09}] => (Block) C:\program files\java\jre1.8.0_261\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{0182A6A1-BE65-42CE-90D3-8022369443CF}D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{CF5E8AC4-57AB-4744-85B4-6839B877BB98}D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [{5741320E-EAE5-466E-86B3-56461DBC1F14}] => (Block) D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [{F95F1FFA-17CA-4F2C-9D3F-A1FCA8C47F85}] => (Block) D:\games\grounded v0.4.0\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{A7D7FBF4-6E3B-43B0-9C45-2F3AD6C053B8}D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{E8E6E332-011F-4BD7-B765-1AE5DCFC7DAA}D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [{9CEBC05C-B94D-451C-A9EA-B9C02C7CD5D7}] => (Block) D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [{801B9743-0C33-4C1A-9356-58B7BB72B997}] => (Block) D:\games\grounded.build 5828274\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{1C4EC403-05C7-4ECB-86F9-47CD382E4BEB}D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe] => (Allow) D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{7F6F9677-7851-4004-A267-221D6B6B2D6F}D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe] => (Allow) D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe => Нет файла
FirewallRules: [{6A7CD076-F7EB-44C9-93C5-BD1586524B38}] => (Block) D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe => Нет файла
FirewallRules: [{BA412E8D-C44A-495D-874C-41647CAD1981}] => (Block) D:\games\exbo\runtime\stalcraft\win64\java\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{480ED37F-80AE-42A9-BA1C-C868E5C55C0B}D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe] => (Allow) D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe => Нет файла
FirewallRules: [UDP Query User{82329853-603D-41F8-9C89-2E1A08E8C71F}D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe] => (Allow) D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe => Нет файла
FirewallRules: [{F93A500D-468C-4F50-B7EB-78F6CE244B90}] => (Block) D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe => Нет файла
FirewallRules: [{32F50DE8-6AEB-4A99-85A0-FC6819374213}] => (Block) D:\games\epic gay launcher\epic games\wargamereddragon\wargame3.exe => Нет файла
FirewallRules: [TCP Query User{F0DC9469-33E6-4E5A-B33B-90FB7B3AAD61}D:\games\epic gay launcher\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) D:\games\epic gay launcher\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{43F40E92-3874-4858-B50B-5F2D4CB50699}D:\games\epic gay launcher\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe] => (Allow) D:\games\epic gay launcher\epic games\fortnite\fortnitegame\binaries\win64\fortniteclient-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{369B0E88-0B18-4CF8-AF1F-22C7EEFDF7CC}D:\games\singularity\binaries\singularity.exe] => (Allow) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [UDP Query User{04750CB3-E70C-49DC-B4C5-2419EE7C8668}D:\games\singularity\binaries\singularity.exe] => (Allow) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [{210F23F2-33AD-48EE-B7AB-8FF61B9EC69D}] => (Block) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [{B5CFB280-91DF-4B7C-82A2-B33B6C1796A2}] => (Block) D:\games\singularity\binaries\singularity.exe => Нет файла
FirewallRules: [{3B22DE13-F455-46F7-9A38-FA533256D591}] => (Allow) D:\Steam\steamapps\common\TotallyAccurateBattlegrounds\TotallyAccurateBattlegrounds.exe => Нет файла
FirewallRules: [{CEB5F0B0-E8DB-47CB-A27B-9EAF076A4322}] => (Allow) D:\Steam\steamapps\common\TotallyAccurateBattlegrounds\TotallyAccurateBattlegrounds.exe => Нет файла
FirewallRules: [{117BE7D9-F7CC-450E-B48A-D9C9BF76C0F7}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{506A9511-47B3-4330-8C16-308C7490F000}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{8F72820B-E610-415D-B073-ECFB7E20DF60}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{A24F2595-C022-432D-8795-BBFCCAE57AD7}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{9BFAF3C8-8E4B-4CB3-A8AE-123670DD938C}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{3F35DD4A-B7F0-4A2D-9EAE-6C5C5302F0C6}] => (Allow) D:\Games\TxGameAssistant\AppMarket\DL\syzs_dl_svr.exe => Нет файла
FirewallRules: [{686D55E6-5726-4146-A7A1-5E1739A48D66}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{FED2E009-B958-4944-833C-CEFF2E47808E}] => (Allow) D:\Steam\steamapps\common\Don't Starve Together\bin\dontstarve_steam.exe => Нет файла
FirewallRules: [{73658EB0-2343-419A-A4DB-C3D5F261294E}] => (Allow) D:\Steam\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{615970FF-794E-49C4-9541-D9826BB8CB42}] => (Allow) D:\Steam\steamapps\common\Call to Arms\binaries\x64\call_to_arms_ed.exe => Нет файла
FirewallRules: [{3792E6DE-9E75-4EC6-8E2D-324F8870DED7}] => (Allow) D:\Steam\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{86521332-AD8D-4B51-833C-5BAB878ACDE7}] => (Allow) D:\Steam\steamapps\common\Call to Arms\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{8908B79F-274D-428E-B07F-B0B69DC4E59E}] => (Allow) D:\Steam\steamapps\common\Call to Arms - Gates of Hell Ostfront BETA\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{1BEF2C6E-3378-4C8D-BE00-BFE4E29F3DD0}] => (Allow) D:\Steam\steamapps\common\Call to Arms - Gates of Hell Ostfront BETA\binaries\x64\call_to_arms.exe => Нет файла
FirewallRules: [{309B4B23-467C-4CAC-B25B-51DB9BAF3072}] => (Allow) D:\Steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017.exe => Нет файла
FirewallRules: [{ACE209CF-BCD2-4C44-B35E-5B5DB2C53942}] => (Allow) D:\Steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017.exe => Нет файла
FirewallRules: [{37852417-D723-4976-9F55-D95200868BBA}] => (Allow) D:\Steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017_Unrestricted.exe => Нет файла
FirewallRules: [{58DD31EC-5A2C-41CD-AE2B-B90B3D63BDA3}] => (Allow) D:\Steam\steamapps\common\Serious Sam Fusion 2017\Bin\x64\Sam2017_Unrestricted.exe => Нет файла
FirewallRules: [{A69A8937-E3E4-4F8F-AE03-5ED7B4CDE2CF}] => (Allow) D:\Steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Нет файла
FirewallRules: [{A2BBE784-65C6-40D2-B675-AD5F0E530B30}] => (Allow) D:\Steam\steamapps\common\Dying Light\DevTools\DyingLightPlayer.exe => Нет файла
FirewallRules: [TCP Query User{9D0C1BB8-538E-46D3-AC14-7D0D02EA3A9D}C:\program files\java\jre1.8.0_301\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{1D96AE7C-6100-4996-AF6C-77724DC678C8}C:\program files\java\jre1.8.0_301\bin\javaw.exe] => (Allow) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Нет файла
FirewallRules: [{027F45B2-593B-4B7B-B41C-17463C62B272}] => (Block) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Нет файла
FirewallRules: [{826158F4-5DCB-4F65-9675-1E29C27CEEA6}] => (Block) C:\program files\java\jre1.8.0_301\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{6B6629D4-CDEB-4235-B4D3-CE868FB2C280}D:\steam\steamapps\common\rogue company\roguecompany\binaries\win64\roguecompany.exe] => (Allow) D:\steam\steamapps\common\rogue company\roguecompany\binaries\win64\roguecompany.exe => Нет файла
FirewallRules: [UDP Query User{6B703B47-525A-480E-B48A-73A88937F7D6}D:\steam\steamapps\common\rogue company\roguecompany\binaries\win64\roguecompany.exe] => (Allow) D:\steam\steamapps\common\rogue company\roguecompany\binaries\win64\roguecompany.exe => Нет файла
FirewallRules: [TCP Query User{ECD513BC-6869-45FD-A14E-FB118D3749F3}D:\steam\steamapps\common\planetside 2\planetside2_x64.exe] => (Allow) D:\steam\steamapps\common\planetside 2\planetside2_x64.exe => Нет файла
FirewallRules: [UDP Query User{AD1A9040-BBCC-4A12-BB91-F87B1EBE4392}D:\steam\steamapps\common\planetside 2\planetside2_x64.exe] => (Allow) D:\steam\steamapps\common\planetside 2\planetside2_x64.exe => Нет файла
FirewallRules: [{D3C65FE4-E2C9-46E1-B9DE-35763AE32D2A}] => (Block) D:\steam\steamapps\common\planetside 2\planetside2_x64.exe => Нет файла
FirewallRules: [{47355A7A-DB47-4979-88AC-6FC0174A04EF}] => (Block) D:\steam\steamapps\common\planetside 2\planetside2_x64.exe => Нет файла
FirewallRules: [{8C020BE6-856A-4721-8A98-C531F47B224C}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
FirewallRules: [{CC979289-CF30-491B-B028-BC25F727095B}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла
FirewallRules: [{13538212-BD8D-403E-8102-00E6F15FF592}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
FirewallRules: [{24E21FB2-5880-4209-B08F-B4AD22A116C5}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла
FirewallRules: [{B45B94AF-BEFD-49D2-8519-FFC6B35057F3}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
FirewallRules: [{6074EA46-5033-4F16-88DC-C5122DCB7175}] => (Allow) D:\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла
FirewallRules: [{802023AC-081F-4946-9738-171FE770CF40}] => (Allow) D:\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
FirewallRules: [{2BFEAC95-3401-4BA5-8BA3-99609FF757E2}] => (Allow) D:\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@ElGrizzly · 23.01.2022, 21:06 **[ТС]**

Прикрепляю лог-файл в архиве.

@thyrex · 23.01.2022, 21:54

Проблема решена?

@ElGrizzly · 23.01.2022, 23:29 **[ТС]**

Да, спасибо большое!

@thyrex · 24.01.2022, 05:26

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	23.01.2022, 20:01	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 1

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	23.01.2022, 21:54	8
	Проблема решена? 0

@ElGrizzly 0 / 0 / 0 Регистрация: 22.01.2022 Сообщений: 5
	23.01.2022, 23:29 [ТС]	9
	Да, спасибо большое! 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	24.01.2022, 05:26	10
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

Словил хитрый майнер

Решение