Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

Подозрение на скрытый майнер/malware/fingerprint.exe

DMiTR3PLAY

Автор DMiTR3PLAY
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DMiTR3PLAY Новичок

DMiTR3PLAY

Опубликовано
Опубликовано (изменено)

Добрый день.

Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.

При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.

Подозреваю скрытый майнер.

После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.

Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.

Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.

Прошу помощи в борьбе с заразой.

CollectionLog-2022.06.29-23.31.zip

Malwarebytes_scanlog.txt

Изменено пользователем DMiTR3PLAY
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
QuarantineFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe','32');
DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','32');
 DeleteFile('C:\ProgramData\Eeyore-dialyzed\bin.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','64');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW.job');
 DeleteSchedulerTask('belligerency-berm');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW');
 DeleteSchedulerTask('gbVAyVNmk');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3763704632-2999901722-2954520180-1001');
 DeleteService('Transmission');
 DeleteFileMask('C:\Users\fon9\AppData\Local\Programs\Transmission', '*', true);
 DeleteDirectory('C:\Users\fon9\AppData\Local\Programs\Transmission');
 DeleteFileMask('C:\ProgramData\FingerPrint', '*', true);
 DeleteDirectory('C:\ProgramData\FingerPrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Snak3EyeS92
      Подозрение на Malware/Bot
      Автор Snak3EyeS92
      Некоторое время назад заметил в мониторе сетевой активности Kaspersky Internet Security исходящее сетевое соединение (иногда несколько) от Windows Explorer. Раньше подобного не было. В интернете мало информации, но все сходится к тому, что это ненормальное поведение Проводника. При попытке задать через Касперский правило на запрет любых исходящих соединений от проводника, начисто отваливается интернет. Проводил проверку Касперским, KVRT, Malwarebytes, Dr. Web CureIt. Последние два что-то нашли, но это были в основном файлы и библиотеки от давно удаленных программ. Удалил найденное, но проблема осталась. Проверял внешние IP, на которые идет соединение. Virus Total выдавал что-то такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. В комментариях к одному из этих IP были комментарии "Malware" и "Bot". Отсюда и возникли опасения, что мне подсадили малварь, бот или что-то еще. Нет никаких видимых признаков заражения или взлома. Ноутбук не тормозит и не греется, никаких рекламных баннеров, браузер не открывается сам собой, объем трафика через это соединение мизерный, в основном ноль. Из странного подметил, что если я не пользуюсь ноутбуком несколько дней, то при включении это соединение не появляется, но появляется после перезагрузки. Незнакомые ссылки я проверяю через Virus Total, скачанные файлы - Касперским. Подозреваю, что что-то могло произойти из-за пользования торрент-клиентом, но Касперский при это всегда включен.
      Общался с поддержкой Касперского, отсылал им логи. Ничего не нашли.
      Если это все же какой-то вирус, можно ли его как-то вычислить и удалить? Нужно ли звонить провайдеру с просьбой о смене моего IP? Если все же придется сбрасывать ноутбук до заводских с последующим рекавери чистой системы, то безопасно ли будет перед этим сбросить данные на внешние носители или хотя бы облако без опасности повторения заражения?


      CollectionLog-2025.03.15-19.18.zip
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      Автор ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • tkm
      [РЕШЕНО] Подозрения на вирус/майнер
      Автор tkm
      Система стала сильно использовать ресурсы. При проверке антивирусом был обнаружен и обезврежен один файл
      CollectionLog-2025.02.28-12.50.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
×
×
  • Создать...