Перейти к содержанию

p19.2miners.com в системе, маскирующийся под svchost


Рекомендуемые сообщения

Приветствую, уважаемые специалисты. Тема прозаична - поймал майнер. Либо торрентом, либо активатором(плохой человек). В процессы влезает svchoost c днс, указанной в заголовке, и если выключен диспетчер задач, отжирает гпу и всю оперативную память. Антивирусы, которые использовал, развели руками, однако др-веб, если он включен, ругается на то, что этот паршивец (вирус, не веб) с небольшим интервалом создает директорию /Google/Chrome/, а в ней - update.exe, который пытается достучаться до консоли. Угроза - Win64/Packed/VMProtect.AC. Как его прибить, я без понятия. Сборщик логов стартует, но после выполнения не создает архива. Погуглил, заюзал AV block remover, система ребутнулась, и вроде бы, все хорошо. Запустил повторно утилиту, логи собрались. Прикладываю. Нужно ли еще что-то чистить, дополнительно ставить, расчехлять огнемет? 

Спойлер

Храни господь вас, ребят, которые пишут ПО и поддерживают нас, нубов, словом и делом, спасибо!

 

CollectionLog-2023.12.20-00.19.zip report1.log report2.log

Ссылка на сообщение
Поделиться на другие сайты

Лог AV_block_remove_дата-время.log так же добавьте в ваше сообщение.

+

Добавьте, пожалуйста, образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем Sandor
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Да, файл updater.exe был удален, оставалась только задача запуска файла, которого нет.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\GAMECENTER\ARCHEAGE\BIN64\ARCHEAGE.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\LOCAL\TEMP\NSB5FC4.TMP\UTORRENT.EXE
delall %SystemDrive%\USERS\EVG\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\µTORRENT.LNK
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDINSTALL.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\EVG\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Удаляем остатки Comodo

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %Sys32%\DRIVERS\ISEDRV.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\ISESRV.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMODO\INTERNET SECURITY ESSENTIALS\VKISE.EXE
apply
restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS.

 

+

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
AlternateDataStreams: C:\Users\evg\Downloads\KVRT.exe:MBAM.Zone.Identifier [182]
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, новый файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txtю

Прикладываю файлы сканирования. Кажется, все отлично. Есет ничего не видит, система не загружается, да и других вирусных проделок не замечаю. Огромная благодарность за помощь.

2023-12-22_20-46-27_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо,

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Хотя, на самом деле, сейчас стали периодически вылезать вот такие ошибки(ребутится гуи винды), плюс, браузерные вкладки падают с "out of memory" - юзаю edge. Возможно, никак не связано с вирусами.  

image.png

Ссылка на сообщение
Поделиться на другие сайты

По логу SecurityCheck:

обновите ПО до актуальной версии.

WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления

 

По ошибкам браузера:

Проверьте работу других браузеров: Chrome, Firefox - происходят ли такие ошибки.

 

По ошибкам системы.

Напишите подробнее, как происходят двнные ошибки, при каких условиях.

Выполните проверку системного диска (chkdsk)+ проверку целостности системы (sfc /scannow).

 

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Кажется, связано с блютуз наушниками. Ну или когда едже отжирает оперативы больше, чем должен. В совокупности, наверное, и система начинает сбоить. Но в любом случае, это скорее вина кривых дров, нежели вирусов. Прогоню через утилиты, посмотрю. Огромное спасибо вам за помощь.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sova.prod123
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • Crossbean
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
    • Magerattor J.
      От Magerattor J.
      Сегодня после загрузки программы сама открывалась командная строка и пк стал сильно зависать. В диспетчере задач, при открытии, на секунду видна загрузка процессора под 80% и выше, после чего она спадает, но если долго бездействовать, то нагрузка вновь возрастет до 50+ процентов. С помощью доктора веба проверял, ничего не нашел, однако в самом диспетчере подозрительно много одних и тех же служб svhost waxp и др. Уже пытался откатить до последнего сохраненного образа, что не дало результата, ибо майнер снова открыл командную строку. Пытался переустановить виндовс, с последующими мучениями на драйвера с интернетом(судя по тому, что загрузка цп все еще идет при открытии диспетчера под 80%, то это не помогло). в безопасном режиме при открытии диспетчера никакой нагрузки в 80% не наблюдается.  

      CollectionLog-2024.09.29-21.18.zip
    • Сергей Danilov
      От Сергей Danilov
      Произвёл чиску dr. web и KVRT, не устанавливается касперский, отчёт Autologger прилогаю
      CollectionLog-2024.09.28-11.30.zip
×
×
  • Создать...