Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] На компе майнер,который перерождается

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 27

#1 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 12 March 2020 - 17:11

Добрый день товарищи.

 

На компе обнаружен майнер,который каждый раз перерождается,после удаления с помощью malwarebytes anti-malware и web curelt

 

Удалится он...пару часов всё норм...потом БАЦ и комп начинает тупить и появляется в диспетчере процесс conhost.exe

Скриншот диспетчера задач

 

Товарищи,прикрепляю логи от антивируса malwarebytes anti-malware и от AutoLogger-test

 

Родненькие...Не понимаю от куда эта зараза рождается...уже даже винду переустанавливал с чистого листа (удалял раздел,форматировал)...

Винда проверенная,много лет на ней.

 

Если можно,скажите от куда именно эта ересь рождается...

 

Спасайте,товарищи :(

 

 

Прикрепленные файлы


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 12 March 2020 - 17:23

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe');
 StopService('WinsockSvc');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\conhost.exe', '');
 QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64');
 DeleteService('WinsockSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#3 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 12 March 2020 - 18:53

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe');
 StopService('WinsockSvc');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\conhost.exe', '');
 QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64');
 DeleteService('WinsockSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).




Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

1.Скрипт сделал и отправил на почту.

2.Сейчас сделал проверку Dr.Web CureIt!. Он не чего не нашел. В диспетчере задач кушающего процесса нету.

Прикрепляю новый CollectionLog. и ЛОГ Dr.Web CureIt!.

 

 

Жду ответ от почты...

 

Скажите пожалуйста,возможно определить,от куда рождается этот вирус?


Только что проверил антивирусом Malwarebytes anti-malware и он опять нашел 2 угрозы

hSbv.png

 

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 09:07

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#5 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 10:34

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Сегодня ночью скачал еще и KVRT.

Он нашел майнер.зип на Д диске в папке под названием "222"

Интересно то,что этой папки при открытии диска не видно,хотя у меня включено обнаружение скрытых файлов (тоесть я везде вижу скрытые файлы,даже на этом диске)

 

Попасть в эту папку можно введя в адресной строке D:\222

В этой папке оказалась винда МНОЙ установленная в 2019 году,НО самое интересное то,что я не когда не ставил её на этот жесткий.

Майнер.зип был в папке ехсплорер...Саму же папку 222 не удалить,ибо из адреса D:\ её не видно

 

Вобщем я в ручную удалил,освободив тем самым почти 20 ГБ...

 

 

Щас сосчитав вес  файлов я понял,что у меня на этом жестком диске ещё что-то невидимое в размере 10ГБ  :angry:

Вы не знаете случайно,как это обнаружить можно?

 

 

Логи FRST.txt и Addition.txt

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   24.09К   скачиваний 1
  • Прикрепленный файл  FRST.txt   36.42К   скачиваний 1

  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 10:45

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


нашел майнер.зип на Д диске

Это уже не активная угроза.
  • 0
Изображение

#7 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 10:56

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


нашел майнер.зип на Д диске

Это уже не активная угроза.

 

Fixlog.txt готов

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   2.11К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 10:59

Первоначальная проблема решена?

Вы не знаете случайно,как это обнаружить можно?


Попробуйте с помощью этой утилиты.

p.s.
Не цитируйте полностью предыдущее сообщение. Используйте форму "Ответить" внизу.
  • 0
Изображение

#9 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 11:07

Пока что процесс conhost не включается и не кушает не чего...Надо потестить сутки,двое...

 

Хочу после всего этого переустановить винду,но боюсь,не появится ли это всё заново...Я так и не понял,от куда это чудо каждый раз появлялось после каждого раза удаления.

 

Сейчас проверю утилиту,которую Вы мне предложили.


Сообщение отредактировал LIKSER: 13 March 2020 - 11:08

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 11:17

Хочу после всего этого переустановить винду

Это лишнее.

Я так и не понял,от куда это чудо каждый раз появлялось

Давайте проверим:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

  • 0
Изображение

#11 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 11:24

Cделал,вот лог

Прикрепленные файлы


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 11:37

Вот вам и ответ:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4534310 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Anti-Malware, версия 2.2.0.1024 v.2.2.0.1024 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

Всё перечисленное следует обновить/исправить.



Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.


Читайте Рекомендации после удаления вредоносного ПО
  • 0
Изображение

#13 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 11:57

Да,у меня выключены все обновления-это многолетняя привычка.

Все программы после переустановок винд ставлю с жесткого диска...Тоесть по-сути они проверенные годами.

ВинРар...вот кстати это меня осенило...Это единственное,что я ставил не из своих проверенных файлов...Щас,кстати после проверок и лечений,у меня архивы отображаются как не известный формат (открываются,но выглядят иначе).

 

 

Спасибо Вам за помощь.

День,два посмотрю за работой ПК и обязательно отпишусь тут о результатах.


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11689

Отправлено 13 March 2020 - 12:35

Контроль учетных записей (UAC) следует обязательно включать.

выключены все обновления-это многолетняя привычка

Тем самым вы "открываете двери" для подобных инцидентов.
Ставьте обновления локально.
  • 0
Изображение

#15 OFF   LIKSER

LIKSER

    Новичок

  • Новички
  • Cообщений: 14

Отправлено 13 March 2020 - 13:18

Увы....Опять только что врубился conhost.exe грузящий процессор...

Malwarebytes опять нашел те же самые вирусы 

 

Думаю,что зараза лежит где-то на D или Е диске,но антивири её не находят,так как С диск я полностью форматировал и удалял раздел после прошлой переустановки винды,до обращения к Вам на форум.

P/S ВинРар установил ваш-свой удалил.

 

hSJM.png

 

Просто нет слов :(    


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных