Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] CoinMiner

Вирус Майнер

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 8

#1 OFF   deamonlal

deamonlal

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 17 Ноябрь 2019 - 13:14

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги.
Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер.
По запросам в гугле нашел этот форум. Тут  у других людей были похожие проблемы.
Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT
Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи.
прикрепляю файлы Addition.txt и FRST.txt

Прикрепленные файлы


  • 0

#2 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 971

Отправлено 17 Ноябрь 2019 - 13:38

Process Hacker 2 - сами устанавливали?
Порты сами открывали?
FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
Folder: C:\ProgramData\WindowsTask\
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    VirusTotal: C:\Programdata\RealtekHD\taskhostw.exe;C:\Programdata\WindowsTask\winlogon.exe;C:\WINDOWS\system32\Cmeau6620.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe 
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F05C6944-E365-4738-963A-555F390DA41E} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
    C:\Programdata\WindowsTask\winlogon.exe
    lternateDataStreams: C:\Users\Hentai\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Hentai\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{F1D1EC42-FF7C-4A81-BD01-36D29BE9A870}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{8724B9E3-DF35-45EA-BF95-266D6C8797FB}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{0CC9E65F-4B21-4F15-9018-8FA0926CF274}] => (Block) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{02DC165E-7A6F-4D78-915C-FC908A1C5C5D}] => (Allow) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{8E362100-8B4A-4E53-A74A-4C820BF032C4}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe (Microsoft Corporation -> Microsoft Corporation)
    FirewallRules: [{5B0B072A-4B06-4A89-9B7F-129E42E961F6}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe No File
    FirewallRules: [{97072B1E-E137-43A9-8D48-656ACA0AED07}] => (Allow) E:\Programms\DaVinci\DPDecoder.exe No File
    FirewallRules: [{37665D56-A9D2-4B2A-A8EE-4251E960EF69}] => (Allow) E:\Programms\DaVinci\OxygenPanelDaemon.exe No File
    FirewallRules: [{842036A2-C75C-4A5B-8E7F-061CC760DED2}] => (Allow) E:\Programms\DaVinci\ElementsPanelDaemon.exe No File
    FirewallRules: [{58536F86-C671-487F-88BC-007D915ADF8D}] => (Allow) E:\Programms\DaVinci\TangentPanelDaemon.exe No File
    FirewallRules: [{11F1F0AF-825C-486E-9BE9-2ABD74A010AA}] => (Allow) E:\Programms\DaVinci\EuphonixPanelDaemon.exe No File
    FirewallRules: [{D1DB9765-40D8-4F0C-9D77-1F0489641169}] => (Allow) E:\Programms\DaVinci\JLCooperPanelDaemon.exe No File
    FirewallRules: [{A70A4F29-3382-4B4C-9850-6CA6E4A8E1BC}] => (Allow) E:\Programms\DaVinci\DaVinciPanelDaemon.exe No File
    FirewallRules: [{B8DA4409-421C-4416-88D1-F2B37FF266CD}] => (Allow) E:\Programms\DaVinci\bmdpaneld.exe No File
    FirewallRules: [{6BADDD88-DC10-4F23-995D-ED0B7813584C}] => (Allow) E:\Programms\DaVinci\Resolve.exe No File
    FirewallRules: [{3B566C35-105A-4A78-B468-FAE30E26C292}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{418C57E5-B932-422A-ADAE-9E56CA00903E}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{AA11EFC0-F01E-4411-8A0C-70C7073880AF}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{86764A41-A72F-4BFE-A568-87AD8C7054AC}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{7B6AC7E1-C900-4E88-9D85-6C875132F356}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    FirewallRules: [{0D4D61B5-D3FB-436E-A4D4-48FB5EC44024}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Подробнее читайте в этом руководстве.
  • 0
  • Согласен x 1
  • Показать

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#3 OFF   deamonlal

deamonlal

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 17 Ноябрь 2019 - 14:08

Порты пытался открывать, но не эти. Про Process Hacker 2 ничего сказать не могу.
Все сделал. Компьютер перезагрузился. Прикрепляю fixlog.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   11,97К   скачиваний 2

  • 0

#4 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 971

Отправлено 17 Ноябрь 2019 - 15:24

Тогда закроем эти
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    (Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
    C:\Programdata\RealtekHD\taskhostw.exe
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\ProgramData\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\ProgramData\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
    FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
    FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
    FirewallRules: [{A50254DE-5FE1-4F9C-B13C-73E09FC3BF7B}] => (Allow) LPort=9393
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


После попробуйте собрать логи автологером.
  • 0
  • Согласен x 1
  • Показать

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#5 OFF   deamonlal

deamonlal

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 17 Ноябрь 2019 - 16:15

AutoLogger запустился, здорово =)
Всё сделано.

Прикрепленные файлы


  • 0

#6 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 971

Отправлено 17 Ноябрь 2019 - 17:10

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Проверьте, что с проблемой.
  • 0
  • Согласен x 1
  • Показать

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#7 OFF   deamonlal

deamonlal

    Новичок

  • Новички
  • Cообщений: 4

Отправлено 17 Ноябрь 2019 - 18:28

Всё сделал.
Имя карантин-а(ов):
2019.11.17_quarantine_0044ac851417672f9adec18ca811b164.7z

На все страницы зайти могу, ничего не закрывается. Компьютер перестал тормозить.
Спасибо вам огромное!


  • 0

#8 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 971

Отправлено 17 Ноябрь 2019 - 19:00

Подготовьте лог лог SecurityCheck by glax24 и закройте найденные уязвимости.

Сообщение отредактировал akoK: 17 Ноябрь 2019 - 22:35

  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019


#9 OFF   akoK

akoK

    Ёж птица гордая.

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPip
  • Cообщений: 1 971

Отправлено 17 Ноябрь 2019 - 22:35

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".


  • 0

Microsoft MVP 2012, 2013, 2014, 2015 Consumer Security
Windows Insider MVP 2016-2019






Темы с аналогичными тегами: Вирус, Майнер

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных