Перейти к содержанию

Майнер в Kaspersky


Рекомендуемые сообщения

Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

 

Search.txt

Так же прикрепляю результаты сканирования FarBar

FRST.txt

Изменено пользователем Полислава
Ссылка на комментарий
Поделиться на другие сайты

+

сделайте дополнительно образ автозапуска:

 

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\1\DESKTOP\[ПРОГРАММЫ]\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\BHO\IE_TO_EDGE_BHO_64.DLL
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ZLU14IQ.DEFAULT-RELEASE\EXTENSIONS\HELPER@SAVEFROM.NET.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\1\DESKTOP\TRON\RESOURCES\STAGE_1_TEMPCLEAN\CCLEANER\X64\CCLEANERBUGREPORT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.93\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\DRIVERS\CDD.DLL
delref SOPHOSVIRUSREMOVALTOOL\[SERVICE]
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\PROCEXP64.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\ESET\ESETONLINESCANNER\ESETONLINESCANNER.EXE
;-------------------------------------------------------------

restart

После завершения работы uVS::

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте новые логи FRST(FRST.txt и Addition.txt) для контроля очистки.

Ссылка на комментарий
Поделиться на другие сайты

К сожалению, проблема в заражённом Kaspersky( файлы ни в какую не удаляются, через Powershell пишет - "отказано в доступе"). Как удалить полностью все файлы, указаные в списке FarBar?

Search.txt

Прошу прощения, перепутала файлы. Вот.

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Выполнены после очистки uVS после перезагрузки ноутбука.

Addition.txt FRST.txt

 

Даже в логах прописан в Центре Безопасности Kaspersky, который утилита по удалению антивируса не видит - пишет, что продуктов нет.

Ссылка на комментарий
Поделиться на другие сайты

Файлов от Касперского нет в образе автозапуска, и в логе FRST, кроме записи в Центре безопасности.

Цитата

AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}

Нечего уже удалять для kavremover.

 

продолжаем очистку системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AlternateDataStreams: C:\Users\1\Downloads\anvirrus.exe:RVContext [122]
AlternateDataStreams: C:\Users\1\Downloads\HiJackThis_test.zip:RVContext [122]
AlternateDataStreams: C:\Users\1\Downloads\ProcessExplorer.zip:RVContext [122]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

Можно ли очистить папку recent?
Нажмите комбинацию клавиш Win + R. Далее в строке пишем запрос Recent и нажимаем Enter. В открывшемся экране вы увидите всю историю действий на ноутбуке; Нажимаем далее CTRL + A и удаляем.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Скопировать можете данный файл в каталог TEMP например?

2025-03-30 02:07 - 2025-04-04 04:13 _____ C:\Program Files\WindowsApps\Kaspersky.ShellEx20_1.0.0.9_x64__b81m8cbssw9gt

в темпе добавить в архив с паролем virus, архив загрузить на облачный диск и дать ссылку на скачивание здесь.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • Slicked4
      Автор Slicked4
      в последнее время я заметил то что компьютер начал тормозить и проверило его доктор веб курейтом и там нашелся майнер tool.btc.mine2800 по инструкции проверил автологером вот логи
      CollectionLog-2025.05.13-21.57.zip
      после каждой перезагрузки хосты восстонавливаются и компьютер начинает грузится опять
       
    • Solnepek7
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

    • iamgroot
      Автор iamgroot
      Вечер добрый, вчера через программу System Informer обнаружил то, что у меня два процесса dwm.exe, один из них грузит процессор на +-30%, потребляет 2 гб ОЗУ и запущен от имени системы, вместо DWM-1. При открытии диспетчера задач нагрузка снижается постепенно, процесс можно завершить, но после перезагрузки он вновь появляется. На данном форуме уже видел темы с идентичными моим симптомами.
      Проблему заметил после того, как установил обновление KB5058499 через центр обновлений, до этого подобного не наблюдал.
      Проверка системы KVRT не дала результатов, ниже прилагаю скриншот с процессом и файл логов автологгера.

      CollectionLog-2025.05.30-17.44.zip
×
×
  • Создать...