Перейти к содержанию

[РЕШЕНО] Подозрение на майнер


Flawor_Swift

Рекомендуемые сообщения

Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

Снимок экрана 2024-11-14 011016.png

CollectionLog-2024.11.14-01.14.zip

Ссылка на комментарий
Поделиться на другие сайты

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

Эту программу с какой целью используете?

 

Цитата

Полное имя                  C:\Z\BIN\WINWS.EXE
Имя файла                   WINWS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? сервис в автозапуске Фильтр
                            
VirIT                       Trojan.Win64.Agent.FYN
Antiy-AVL                   Trojan/Win32.Agent
Gridinsoft                  Trojan.Win64.Agent.cl
AhnLab-V3                   Trojan/Win.Generic.C5686585
McAfee                      Artemis!444FE359CA18
Fortinet                    W32/PossibleThreat
DeepInstinct                MALICIOUS
www.virustotal.com          2024-11-13 14:28 [2024-10-17]
                                                      
TimeStamp                   17.10.2024 в 07:37:24
Цифр. подпись               Отсутствует либо ее не удалось проверить                           
                            
Доп. информация             на момент обновления списка
pid = 6244                  NT AUTHORITY\СИСТЕМА
  CmdLine                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
  Процесс создан            00:40:34 [2024.11.14]
  С момента создания        04:45:30
  CPU                       0,02%
  CPU (1 core)              0,31%
  parentid = 1380           C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        61716DE8152BD3A59378A6CD11F6B07988A549D5
MD5                         444FE359CA183016B93D8BFE398D5103
                            
Ссылки на объект            
Ссылка                      HKLM\SYSTEM\ControlSet001\Services\zapret\ImagePath
ImagePath                   "C:\z\bin\winws.exe"   --wf-tcp 80,443 --wf-udp 443,50000-50100  --filter-udp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake --dpi-desync-repeats 6 --dpi-desync-fake-quic "C:\z\bin\quic_initial_www_google_com.bin" --new  --filter-udp 50000-50100 --ipset "C:\z\ipset-discord.txt" --dpi-desync fake --dpi-desync-any-protocol --dpi-desync-cutoff d3 --dpi-desync-repeats 6 --new  --filter-tcp 80 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split2 --dpi-desync-autottl 2 --dpi-desync-fooling md5sig --new  --filter-tcp 443 --hostlist "C:\z\list-general.txt" --dpi-desync fake,split --dpi-desync-autottl 2 --dpi-desync-repeats 6 --dpi-desync-fooling badseq --dpi-desync-fake-tls "C:\z\bin\tls_clienthello_www_google_com.bin"
DisplayName                 zpret
Description                 zapret DPI bypass software
zapret                      тип запуска: Авто (2)
Изменен                     10.11.2024 в 10:32:20
                            
Образы                      EXE и DLL
WINWS.EXE                   C:\Z\BIN
                            
Загруженные DLL             НЕИЗВЕСТНЫЕ
CYGWIN1.DLL                 C:\Z\BIN
WINDIVERT.DLL               C:\Z\BIN
                            


 

 

Ссылка на комментарий
Поделиться на другие сайты

+

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HP\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
zoo D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
;------------------------autoscript---------------------------

delall D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delall D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDOKIEJNPIMAKEDHAJHDLCEGEPLIOAHD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\HP\WINAMAX\WLAUNCHER.EXE
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\HAND2NOTE.NEWHUD
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\PICTUREINPICTURE@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\MOZILLA.FIREFOX_128.0.0.0_X64__N80BBVH6B1YT2\VFS\PROGRAMFILES\FIREFOX PACKAGE ROOT\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\POKER\PACIFICPOKER\BIN\888POKER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\VIPOLE CLIENT\VIPOLELAUNCHER.EXE
delref %SystemDrive%\USERS\HP\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

Напишите по результату есть улучшения в работе системы или замеченные проблемы сохранились.

Ссылка на комментарий
Поделиться на другие сайты

Дискорд нужен для работы, позволяет обойти ограничение :) 

12 минут назад, safety сказал:

Эту программу с какой целью используете?

 


 

 

)

Ссылка на комментарий
Поделиться на другие сайты

Безопасность Windows все еще выдает черное окно на минуту, после этого подгружает меню до конца.  В остальном ноут работает бесшумнее обычного, и не разгоняется после простоя. Могу сказать, что основная проблема полностью решена, даже перевыполнена)

2024-11-14_07-19-06_log.txt

Ссылка на комментарий
Поделиться на другие сайты

Возможно окно безопасности связано с этой ошибкой

Error: (11/14/2024 07:26:09 AM) (Source: Microsoft-Windows-TPM-WMI) (EventID: 1796) (User: NT AUTHORITY)
Description: При обновлении безопасной загрузки не удалось обновить переменную безопасной загрузки с ошибкой (-2147020471 = Безопасная загрузка не включена на этом компьютере.). Дополнительные сведения см. на странице https://go.microsoft.com/fwlink/?linkid=2169931

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{5d228c0c-e0be-4dc4-be4b-583b7764f7e1}] => (Allow) D:\LDPlayer\LDPlayer9\dnplayer.exe => Нет файла
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Edge HKLM\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
Edge HKLM-x32\...\Edge\Extension: [bbcinlkgjjkejfdpemiealijmmooekmp]
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDPlayer9
2024-11-14 07:18 - 2024-05-28 01:18 - 000000000 ____D C:\Users\HP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\LDMultiPlayer
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Ссылка на комментарий
Поделиться на другие сайты

Теперь иконка в трее, открывающая безопасность Windows, перестала быть кликабельной 

upd. Кликабельно, но реагирует через секунд 30, проблема с медленной загрузкой окна сохранилась

Fixlog.txt

Изменено пользователем Flawor_Swift
Ссылка на комментарий
Поделиться на другие сайты

Цитата

Кликабельно, но реагирует через секунд 30 

 

Попробуйте погуглить на тему данной проблемы.

-------------

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты

По возможности, обновите данное ПО:

 

PuTTY release 0.79 (64-bit) v.0.79.0.0 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.32.31332 v.14.32.31332.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.34.31931 v.14.34.31931.0 Внимание! Скачать обновления

 

7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9021 Внимание! Скачать обновления
Zoom Workplace v.6.2.6 (49050) Внимание! Скачать обновления

BitTorrent v.7.11.0.46923 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.3 Внимание! Скачать обновления

Spotify v.1.2.41.434.g39a25e2c Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.126.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Bonjour v.3.0.0.10 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • Viani
      От Viani
      Добрый вечер. Майнер грузит систему под 90-95% (бездействие системы в диспетчере задач) ЦП при любом открытом окне, ноутбук сильно греется, хотя при открытом браузере даже не включал винты. Вирус был подхвачен когда на ноутбук скачали игру "растения против зомби 2", но проявил себя спустя месяц. (Больше ничего не скачивалось). В корневой папке C после каждого запуска системы появляется свежий файл "HaxLogs.log", внутри написано это: "慨彸敧彴敭潭祲瑟牨獥潨摬›砰〸〰〰〰
      ⴭⴭ䠠塁⁍敲敬獡⁥⸱⸰‶ⴭⴭⴭⴭ
      桔獩氠杯挠汯敬瑣⁳畲湮楧杮猠慴畴⁳景䠠塁⁍牤癩牥ਮ".
      Юзал DrWeb, утулиту касперского, всё по нулям. Помогите, пожалуйста. Логи по вашим правилам прилагаю:
      CollectionLog-2024.11.10-21.44.zip report1.log report2.log
    • Medoed Stepa
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
    • Neovolt
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
×
×
  • Создать...