Перейти к содержанию

p19.2miners.com в системе, маскирующийся под svchost


Рекомендуемые сообщения

Приветствую, уважаемые специалисты. Тема прозаична - поймал майнер. Либо торрентом, либо активатором(плохой человек). В процессы влезает svchoost c днс, указанной в заголовке, и если выключен диспетчер задач, отжирает гпу и всю оперативную память. Антивирусы, которые использовал, развели руками, однако др-веб, если он включен, ругается на то, что этот паршивец (вирус, не веб) с небольшим интервалом создает директорию /Google/Chrome/, а в ней - update.exe, который пытается достучаться до консоли. Угроза - Win64/Packed/VMProtect.AC. Как его прибить, я без понятия. Сборщик логов стартует, но после выполнения не создает архива. Погуглил, заюзал AV block remover, система ребутнулась, и вроде бы, все хорошо. Запустил повторно утилиту, логи собрались. Прикладываю. Нужно ли еще что-то чистить, дополнительно ставить, расчехлять огнемет? 

Спойлер

Храни господь вас, ребят, которые пишут ПО и поддерживают нас, нубов, словом и делом, спасибо!

 

CollectionLog-2023.12.20-00.19.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты

Лог AV_block_remove_дата-время.log так же добавьте в ваше сообщение.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем Sandor
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Да, файл updater.exe был удален, оставалась только задача запуска файла, которого нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\GAMECENTER\ARCHEAGE\BIN64\ARCHEAGE.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\LOCAL\TEMP\NSB5FC4.TMP\UTORRENT.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\µTORRENT.LNK
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDINSTALL.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\EVG\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Удаляем остатки Comodo

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %Sys32%\DRIVERS\ISEDRV.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\ISESRV.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\VKISE.EXE
apply
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

 

+

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
AlternateDataStreams: C:\Users\evg\Downloads\KVRT.exe:MBAM.Zone.Identifier [182]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, новый файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txtю

Прикладываю файлы сканирования. Кажется, все отлично. Есет ничего не видит, система не загружается, да и других вирусных проделок не замечаю. Огромная благодарность за помощь.

2023-12-22_20-46-27_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо,

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Хотя, на самом деле, сейчас стали периодически вылезать вот такие ошибки(ребутится гуи винды), плюс, браузерные вкладки падают с "out of memory" - юзаю edge. Возможно, никак не связано с вирусами.  

image.png

Ссылка на сообщение
Поделиться на другие сайты

По логу SecurityCheck:

обновите ПО до актуальной версии.

WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления

 

По ошибкам браузера:

Проверьте работу других браузеров: Chrome, Firefox - происходят ли такие ошибки.

 

По ошибкам системы.

Напишите подробнее, как происходят двнные ошибки, при каких условиях.

Выполните проверку системного диска (chkdsk)+ проверку целостности системы (sfc /scannow).

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Кажется, связано с блютуз наушниками. Ну или когда едже отжирает оперативы больше, чем должен. В совокупности, наверное, и система начинает сбоить. Но в любом случае, это скорее вина кривых дров, нежели вирусов. Прогоню через утилиты, посмотрю. Огромное спасибо вам за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Павел1247
      От Павел1247
      Сам восстанавливается майнер, нашел на форуме как его удалить с помощью FRST, но как я понимаю fixlist для каждого индивидуален, и мне нужна помощь с этим.
      Заранее спасибо.
      Addition.txt FRST.txt
    • Golem555
      От Golem555
      Здравствуйте!
      На моем компьютере обнаружено подозрительное ПО, предположительно майнер. Наблюдаю следующие симптомы на скриншоте это в спокойном режиме:

      Попробовал проверку Антивируса Malwarebytes, HitmanPro, не помогает. Пробовал переустанавливать винду, не помогает  
      Уже и не знаю что делать, ещё добавление: вирус маскируется под активные программы 
       
    • Maksim28
      От Maksim28
      Здравствуйте, столкнулся с проблемой в виде майнера на своем компьютере. Скачивал игру с интернета, но видимо поймал вирус. В диспетчере задач процесс uTorrent.pro бывает грузит процессор на 100 процентов. Пробовал использовать антивирусы, но не помогает. После перезагрузки компьютера, он снова появляется.
      CollectionLog-2024.09.02-19.05.zip
    • Сергей Danilov
      От Сергей Danilov
      Не устанавливается антивирус, чистил dr.web curiet, и остатки файлов вручную через тотал командер, прогонял систему AVBR, раньше помогало, но не в этот раз,
      результат сканирования AutoLogger прикрепил
      CollectionLog-2024.09.02-13.33.zip
    • Northrei
      От Northrei
      Доброго времени суток! Помогите, пожалуйста 🙏
      Устанавливал несколько игр с торрента, после чего заметил сильную загрузку ЦП в обычных задачах. 
      Выявил, что грузит проц приложение uTorrent, хотя оно должно быть закрыто. Удалил его, оно автоматически при новом запуске устанавливается снова в тихом режиме (просто в недавно добавленных опять его вижу).
      Касперский Free нашёл 2 майнера, вырезал их, однако ситуация повторяется и дальше.

      avz_log.txt
×
×
  • Создать...