Внедрение har har miner-p в процесс lsass, загрузка CPU до 50-60% одним процессом

@MakeMeCake · Регистрация: 25.06.2021

Author24 — интернет-сервис помощи студентам

Процесс lsass начал загружать процессор на 50-60%. Антивирус обнаружил внедрение har har miner-p" в процесс lsass, но сделать с этим ничего не смог. Попытки как-либо приостановить работу процесса приводят к принудительному ребуту ПК.

Прикладываю логи uVS.

@thyrex · 16.06.2023, 20:35

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@MakeMeCake · 17.06.2023, 07:33 **[ТС]**

Прикрепляю.

@thyrex · 17.06.2023, 08:52

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

Код

O4 - HKLM\..\Session Manager: [PendingFileRenameOperations] = C:\Program Files (x86)\Google\Update\1.3.36.242 -> DELETE (file missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87695088-5C25-4736-BFDD-8B30223FA99E} - \Microsoft\Windows\Windows Error Reporting\SystemInfo (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{920B28BC-3D0A-4B37-9B37-F123DC9FA40A} - \Microsoft\Windows\Windows Error Reporting\SystemInfoTool (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avanquest Software\Soda PDF Desktop 14 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LULU Software\Soda PDF Desktop 14 (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TVT (empty)
O22 - Tasks: (disabled) \Lenovo\Lenovo Service Bridge\S-1-5-21-1243971768-3521296135-4120977615-1001 - C:\Users\Дмитрий\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (file missing)
O22 - Tasks: ASC_PerformanceMonitor - C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (file missing)
O22 - Tasks: ASC_SkipUac_Дмитрий - C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (file missing)
O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-1152748529-924715390-3095423772-500 - C:\Users\Дмитрий\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O23 - Driver S3: cpuz145 - C:\Windows\temp\cpuz145\cpuz145_x64.sys (file missing)
O23 - Driver S3: cpuz150 - C:\Windows\temp\cpuz150\cpuz150_x64.sys (file missing)
O23 - Driver S3: iobit_monitor_server2021 - C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys (file missing)

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@MakeMeCake · 17.06.2023, 09:48 **[ТС]**

Прикладываю обновленные логи, пока что загрузка ЦП процессом осталась.

@thyrex · 17.06.2023, 09:53

Чем проверяете загрузку? Никаких следов майнера в логах нет и в помине.

@MakeMeCake · 17.06.2023, 10:12 **[ТС]**

Скрин загрузки прикладываю. На майнер в процессе lsass изначально начал ругаться AVG, но ничего с ним не сделал.
Логи не сохранились, к сожалению. Сейчас повторно погоняю им проверки, если вылетит - прикреплю.

@thyrex · 17.06.2023, 10:24

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@MakeMeCake · 17.06.2023, 12:29 **[ТС]**

Прикладываю.

@thyrex · 17.06.2023, 13:08

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Код

Start::
CloseProcesses:
CreateRestorePoint:
AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" (Нет файла)
HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Unlock: C:\Windows\system32\config\SYSTEM
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> Нет файла
ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> Нет файла
FirewallRules: [{7A590F6B-660F-4ABE-9A86-BE454570D5EC}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла
FirewallRules: [{7FA883E7-6A31-49DD-A534-F6F2CCB2B186}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла
FirewallRules: [{5E7C8288-7530-4D33-931A-BF019F40E76D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла
FirewallRules: [{5D152484-F94F-4F0F-A2CB-DBCB05B6A2BC}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла
FirewallRules: [TCP Query User{33CA37DA-1F3D-475E-B6AC-A6A17BFE3342}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{13FE5255-57E4-413C-ACA0-FFA67AFAB71D}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{19638C08-1B44-456F-AE81-BDEEFDBC2015}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{1F760526-4795-40A5-8BEE-AC3084ABC2DB}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [{84CE1322-084F-46F8-B709-B87F265EFC62}] => (Allow) C:\Users\Дмитрий\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{9DE9360F-685B-4727-A25A-2D6F6883E08B}] => (Allow) C:\Users\Дмитрий\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
S3 GoogleChromeElevationService1d96b68c40a2a3a; "C:\Program Files\Google\Chrome\Application\112.0.5615.49\elevation_service.exe" [X]
S2 SolidWorks Flexnet Server; C:\SolidWorks_Flexnet_Server\lmgrd.exe [X]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@MakeMeCake · 17.06.2023, 13:31 **[ТС]**

Прикладываю.

@thyrex · 17.06.2023, 13:50

Что сейчас с проблемой?

@MakeMeCake · 17.06.2023, 16:48 **[ТС]**

Ситуация с загрузкой процессора процессом lsass сохраняется.

@thyrex · 17.06.2023, 18:20

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

Internet Services
Windows Firewall
System Restore
Security Center/Action Center
Windows Update
Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

@MakeMeCake · 18.06.2023, 16:12 **[ТС]**

Прикладываю.

@thyrex · 18.06.2023, 16:59

Выполните скрипт в AVZ

Код

begin
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\DoSvc', 'c:\DoSvc.log');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\UsoSvc', 'c:\UsoSvc.log');
 ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log');
end.

Файлы c:\BITS.log, c:\DoSvc.log, c:\UsoSvc.log, c:\wuauserv.log прикрепите к сообщению

@MakeMeCake · 18.06.2023, 17:08 **[ТС]**

Прикрепляю.

@thyrex · 18.06.2023, 17:35

Распакуйте файлы из вложения, двойным кликом по каждому файлу внесите информацию в реестр, перезагрузите компьютер, сделайте новый лог FRST.txt

@MakeMeCake · 18.06.2023, 18:04 **[ТС]**

Прикрепляю.

@thyrex · 18.06.2023, 18:16

Может быть каким-то образом после восстановления информации в реестре и нагрузка спала?

Если нет, попробуйте отключить автозапуск при старте Process Lasso, перезагрузитесь и проверьте проблему

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	16.06.2023, 20:35	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	17.06.2023, 09:53	6
	Чем проверяете загрузку? Никаких следов майнера в логах нет и в помине. 0

@MakeMeCake 0 / 0 / 0 Регистрация: 25.06.2021 Сообщений: 11
	17.06.2023, 10:12 [ТС]	7
	Скрин загрузки прикладываю. На майнер в процессе lsass изначально начал ругаться AVG, но ничего с ним не сделал. Логи не сохранились, к сожалению. Сейчас повторно погоняю им проверки, если вылетит - прикреплю. Миниатюры 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	17.06.2023, 10:24	8
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	17.06.2023, 13:50	12
	Что сейчас с проблемой? 0

@MakeMeCake 0 / 0 / 0 Регистрация: 25.06.2021 Сообщений: 11
	17.06.2023, 16:48 [ТС]	13
	Ситуация с загрузкой процессора процессом lsass сохраняется. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	17.06.2023, 18:20	14
	Скачайте Farbar Service Scanner Запустите. Убедитесь, что отмечены пункты: Internet Services Windows Firewall System Restore Security Center/Action Center Windows Update Windows Defender Нажмите кнопку "Scan" Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита. Прикрепите этот файл к своему ответу. 0

@thyrex 13213 / 7343 / 1558 Регистрация: 06.09.2009 Сообщений: 26,860
	18.06.2023, 18:16	20
	Может быть каким-то образом после восстановления информации в реестре и нагрузка спала? Если нет, попробуйте отключить автозапуск при старте Process Lasso, перезагрузитесь и проверьте проблему 0