Перейти к содержанию

[РЕШЕНО] Подозрение на майнер


Flawor_Swift

Рекомендуемые сообщения

Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

Снимок экрана 2024-11-14 011016.png

CollectionLog-2024.11.14-01.14.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Эту программу с какой целью используете?

 

Цитата

Полное имя                  C:\Z\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? сервис в автозапуске Фильтр
                            
VirIT                       Trojan.Win64.Agent.FYN
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Trojan.Win64.Agent.cl
AhnLab-V3                   Trojan/Win.Generic.C5686585
McAfee                      Artemis!444FE359CA18
Fortinet                    W32/PossibleThreat
DeepInstinct                MALICIOUS
www.virustotal.com          2024-11-13 14:28 [2024-10-17]
                                                      
TimeStamp                   17.10.2024 в 07:37:24
Цифр. подпись               Отсутствует либо ее не удалось проверить                           
                            
Доп. информация             на момент обновления списка
pid = 6244                  NT AUTHORITY\СИСТЕМА
  CmdLine                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
  Процесс создан            00:40:34 [2024.11.14]
  С момента создания        04:45:30
  CPU                       0,02%
  CPU (1 core)              0,31%
  parentid = 1380           C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        61716DE8152BD3A59378A6CD11F6B07988A549D5
MD5                         444FE359CA183016B93D8BFE398D5103
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zpret
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.11.2024 в 10:32:20
                            
Образы                      EXE и DLL
WINWS.EXE                   C:\Z\BIN
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
CYGWIN1.DLL                 C:\Z\BIN
WINDIVERT.DLL               C:\Z\BIN
                            


 

 

Ссылка на комментарий
Поделиться на другие сайты

+

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HP\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
zoo D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
;------------------------autoscript---------------------------

delall D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDOKIEJNPIMAKEDHAJHDLCEGEPLIOAHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\HP\WINAMAX\WLAUNCHER.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\HAND2NOTE.NEWHUD
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\POKER\PACIFICPOKER\BIN\888POKER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\VIPOLE CLIENT\VIPOLELAUNCHER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Напишите по результату есть улучшения в работе системы или замеченные проблемы сохранились.

Ссылка на комментарий
Поделиться на другие сайты

Дискорд нужен для работы, позволяет обойти ограничение :) 

12 минут назад, safety сказал:

Эту программу с какой целью используете?

 


 

 

)

Ссылка на комментарий
Поделиться на другие сайты

Безопасность Windows все еще выдает черное окно на минуту, после этого подгружает меню до конца.  В остальном ноут работает бесшумнее обычного, и не разгоняется после простоя. Могу сказать, что основная проблема полностью решена, даже перевыполнена)

2024-11-14_07-19-06_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Возможно окно безопасности связано с этой ошибкой

Error: (11/14/2024 07:26:09 AM) (Source: Microsoft-Windows-TPM-WMI) (EventID: 1796) (User: NT AUTHORITY)
Description: При обновлении безопасной загрузки не удалось обновить переменную безопасной загрузки с ошибкой (-2147020471 = Безопасная загрузка не включена на этом компьютере.). Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2169931

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{5d228c0c-e0be-4dc4-be4b-583b7764f7e1}] => (Allow) D:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge HKLM\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
Edge HKLM-x32\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDPlayer9
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDMultiPlayer
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Теперь иконка в трее, открывающая безопасность Windows, перестала быть кликабельной 

upd. Кликабельно, но реагирует через секунд 30, проблема с медленной загрузкой окна сохранилась

Fixlog.txt

Изменено пользователем Flawor_Swift
Ссылка на комментарий
Поделиться на другие сайты

Цитата

Кликабельно, но реагирует через секунд 30 

 

Попробуйте погуглить на тему данной проблемы.

-------------

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

По возможности, обновите данное ПО:

 

PuTTY release 0.79 (64-bit) v.0.79.0.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Внимание! Скачать обновления

 

7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9021 Внимание! Скачать обновления
Zoom Workplace v.6.2.6 (49050) Внимание! Скачать обновления

BitTorrent v.7.11.0.46923 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.3 Внимание! Скачать обновления

Spotify v.1.2.41.434.g39a25e2c Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.126.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • ANHIEL
      От ANHIEL
      словил майнер сам восстанавливается после перезагрузки 
       
    • Golem555
      От Golem555
      Здравствуйте!
      На моем компьютере обнаружено подозрительное ПО, предположительно майнер. Наблюдаю следующие симптомы на скриншоте это в спокойном режиме:

      Попробовал проверку Антивируса Malwarebytes, HitmanPro, не помогает. Пробовал переустанавливать винду, не помогает  
      Уже и не знаю что делать, ещё добавление: вирус маскируется под активные программы 
       
×
×
  • Создать...