Перейти к содержанию
Правила раздела

Подозрение на скрытый майнер/malware/fingerprint.exe

DMiTR3PLAY

От DMiTR3PLAY
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

DMiTR3PLAY Новичок

DMiTR3PLAY

Опубликовано
Опубликовано (изменено)

Добрый день.

Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.

При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.

Подозреваю скрытый майнер.

После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.

Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.

Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.

Прошу помощи в борьбе с заразой.

CollectionLog-2022.06.29-23.31.zip

Malwarebytes_scanlog.txt

Изменено пользователем DMiTR3PLAY
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
QuarantineFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe','32');
DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','32');
 DeleteFile('C:\ProgramData\Eeyore-dialyzed\bin.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','64');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW.job');
 DeleteSchedulerTask('belligerency-berm');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW');
 DeleteSchedulerTask('gbVAyVNmk');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3763704632-2999901722-2954520180-1001');
 DeleteService('Transmission');
 DeleteFileMask('C:\Users\fon9\AppData\Local\Programs\Transmission', '*', true);
 DeleteDirectory('C:\Users\fon9\AppData\Local\Programs\Transmission');
 DeleteFileMask('C:\ProgramData\FingerPrint', '*', true);
 DeleteDirectory('C:\ProgramData\FingerPrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Артуp
      Подозрение на майнер
      От Артуp
      Использую обход ограничения дискорда и ютуба через скрипт, как в посте у данного пользователя. Но у меня компьютер сам включается, если его в сон закидывать. Что с этим делать? Вот Файл архива с образом автозапуска из uVS
       
      WIN-IP6ESJ6INRU_2025-01-01_21-10-23_v4.99.5v x64.7z
    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
×
×
  • Создать...