Перейти к содержанию
Правила раздела

[РЕШЕНО] CoinMiner

deamonlal

Автор deamonlal,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

deamonlal

deamonlal 0

Опубликовано
Опубликовано

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги.
Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер.
По запросам в гугле нашел этот форум. Тут  у других людей были похожие проблемы.
Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT
Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи.
прикрепляю файлы Addition.txt и FRST.txt

Файлики.rar

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

Process Hacker 2 - сами устанавливали?

Порты сами открывали?

FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494

FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494

FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393

Folder: C:\ProgramData\WindowsTask\

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
VirusTotal: C:\Programdata\RealtekHD\taskhostw.exe;C:\Programdata\WindowsTask\winlogon.exe;C:\WINDOWS\system32\Cmeau6620.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {F05C6944-E365-4738-963A-555F390DA41E} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
C:\Programdata\WindowsTask\winlogon.exe
lternateDataStreams: C:\Users\Hentai\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Hentai\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{F1D1EC42-FF7C-4A81-BD01-36D29BE9A870}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{8724B9E3-DF35-45EA-BF95-266D6C8797FB}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{0CC9E65F-4B21-4F15-9018-8FA0926CF274}] => (Block) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
FirewallRules: [{02DC165E-7A6F-4D78-915C-FC908A1C5C5D}] => (Allow) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
FirewallRules: [{8E362100-8B4A-4E53-A74A-4C820BF032C4}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{5B0B072A-4B06-4A89-9B7F-129E42E961F6}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe No File
FirewallRules: [{97072B1E-E137-43A9-8D48-656ACA0AED07}] => (Allow) E:\Programms\DaVinci\DPDecoder.exe No File
FirewallRules: [{37665D56-A9D2-4B2A-A8EE-4251E960EF69}] => (Allow) E:\Programms\DaVinci\OxygenPanelDaemon.exe No File
FirewallRules: [{842036A2-C75C-4A5B-8E7F-061CC760DED2}] => (Allow) E:\Programms\DaVinci\ElementsPanelDaemon.exe No File
FirewallRules: [{58536F86-C671-487F-88BC-007D915ADF8D}] => (Allow) E:\Programms\DaVinci\TangentPanelDaemon.exe No File
FirewallRules: [{11F1F0AF-825C-486E-9BE9-2ABD74A010AA}] => (Allow) E:\Programms\DaVinci\EuphonixPanelDaemon.exe No File
FirewallRules: [{D1DB9765-40D8-4F0C-9D77-1F0489641169}] => (Allow) E:\Programms\DaVinci\JLCooperPanelDaemon.exe No File
FirewallRules: [{A70A4F29-3382-4B4C-9850-6CA6E4A8E1BC}] => (Allow) E:\Programms\DaVinci\DaVinciPanelDaemon.exe No File
FirewallRules: [{B8DA4409-421C-4416-88D1-F2B37FF266CD}] => (Allow) E:\Programms\DaVinci\bmdpaneld.exe No File
FirewallRules: [{6BADDD88-DC10-4F23-995D-ED0B7813584C}] => (Allow) E:\Programms\DaVinci\Resolve.exe No File
FirewallRules: [{3B566C35-105A-4A78-B468-FAE30E26C292}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{418C57E5-B932-422A-ADAE-9E56CA00903E}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{AA11EFC0-F01E-4411-8A0C-70C7073880AF}] => (Allow) E:\Steam\Steam.exe No File
FirewallRules: [{86764A41-A72F-4BFE-A568-87AD8C7054AC}] => (Allow) E:\Steam\Steam.exe No File
FirewallRules: [{7B6AC7E1-C900-4E88-9D85-6C875132F356}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
FirewallRules: [{0D4D61B5-D3FB-436E-A4D4-48FB5EC44024}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
deamonlal

deamonlal 0

Опубликовано
  • Автор
Опубликовано

Порты пытался открывать, но не эти. Про Process Hacker 2 ничего сказать не могу.
Все сделал. Компьютер перезагрузился. Прикрепляю fixlog.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

Тогда закроем эти

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
CreateRestorePoint:
(Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
C:\Programdata\RealtekHD\taskhostw.exe
2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\ProgramData\RunDLL
2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\ProgramData\WindowsTask
2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\ProgramData\RealtekHD
FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
FirewallRules: [{A50254DE-5FE1-4F9C-B13C-73E09FC3BF7B}] => (Allow) LPort=9393
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

После попробуйте собрать логи автологером.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Проверьте, что с проблемой.
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
deamonlal

deamonlal 0

Опубликовано
  • Автор
Опубликовано

Всё сделал.
Имя карантин-а(ов):
2019.11.17_quarantine_0044ac851417672f9adec18ca811b164.7z

На все страницы зайти могу, ничего не закрывается. Компьютер перестал тормозить.
Спасибо вам огромное!

Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано (изменено)
Подготовьте лог лог SecurityCheck by glax24 и закройте найденные уязвимости. Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты
akoK

akoK 138

Опубликовано
Опубликовано

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • Jigglypuff
      Вирус HEUR:Trojan.Multi.GenAdur.gen
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
    • Dmitriyln
      Не могу открыть сайты с антивирусным ПО
      От Dmitriyln
      Не могу открыть сайты с антивирусным ПО. Провел проверку Dr.Web CureIt!, некоторые вирусы ПО не удалило. Компьютер работает не так быстро, как это было раньше. 
      CollectionLog-2024.04.15-22.11.zip
    • zimex
      Майнер john
      От zimex
      Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.
    • ststst
      ЦП нагружен на 100%, даже в простое.. Помогите решить проблему!
      От ststst
      Проверил через FRST, но не могу понять, что делать дальше.
      FRST.txt Addition.txt
      Использовал разные программы, нашел троян через Dr. Web, но ничего не изменилось.
       
    • Roman9876
      kasperky обнаружил Trojan.Win64.Agent.qwjsmv
      От Roman9876
      Скачал пиратский PowerPoint (не проверив сайт, торопился).
      После этого некоторые приложения перестали отрываться, говоря, что у меня нет прав Администратора. 

      Лечил с перезагрузкой уже несколько раз, не уходит.
       
       
      CollectionLog-2024.04.11-12.35.zip
×
×
  • Создать...