Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

Подозрение на скрытый майнер/malware/fingerprint.exe

DMiTR3PLAY

Автор DMiTR3PLAY
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DMiTR3PLAY

DMiTR3PLAY

Опубликовано
Опубликовано (изменено)

Добрый день.

Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.

При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.

Подозреваю скрытый майнер.

После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.

Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.

Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.

Прошу помощи в борьбе с заразой.

CollectionLog-2022.06.29-23.31.zip

Malwarebytes_scanlog.txt

Изменено пользователем DMiTR3PLAY
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
QuarantineFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe','32');
DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','32');
 DeleteFile('C:\ProgramData\Eeyore-dialyzed\bin.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','64');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW.job');
 DeleteSchedulerTask('belligerency-berm');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW');
 DeleteSchedulerTask('gbVAyVNmk');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3763704632-2999901722-2954520180-1001');
 DeleteService('Transmission');
 DeleteFileMask('C:\Users\fon9\AppData\Local\Programs\Transmission', '*', true);
 DeleteDirectory('C:\Users\fon9\AppData\Local\Programs\Transmission');
 DeleteFileMask('C:\ProgramData\FingerPrint', '*', true);
 DeleteDirectory('C:\ProgramData\FingerPrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • setl1ne
      [РЕШЕНО] Помогите устранить последствия присутствия майнера
      Автор setl1ne
      Поймал майнер, удалил его по гайдам через безопасный режим, но остались последствия в виде того, что есть какие-то ограничения по типу что вылазит ошибка 195 при установке amd adrenaline и ошибка в службе восстановления, помогите вернуть систему к рабочему состоянию
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • salad
      помогите удалить NET:MINERS.URL
      Автор salad
      Dr Web CureIt! обнаружил NET:MINERS.URL и не может его вылечить
      https://dropmefiles.com/kM9Ct - логи cureit
×
×
  • Создать...