Перейти к содержанию

Буткит, Майнер, Ратник в одном флаконе


Рекомендуемые сообщения

Заражался раньше майнером и раткой в одном флаконе, после переустановки винды он типо удалился но мне кажется что там все ещё есть часть от ратника или даже ещё там keylogger ведь кто то все время заходит ко мне в Стим хотя я не вводил нигде свои данные Стима. Каждые 2 недели заходят на акк без Steam Guard и без Email 3 чела с Питера. Есть Native Shell (нативный режим NT до запуска Win32, обычно все вирусы работают на Win32), могу записать LiveCD, Kaspersky Rescue Disk не работает, Dr. Web LiveCD тоже. Но установщик убунту прекрасно запускается.

Ссылка на комментарий
Поделиться на другие сайты

Да и ещё к тому же если зайти в историю посещения в Appdata то проводник сразу перезапускается. Был ещё любимый наш John. При открытии сайтов антивирусных до удаления либо закрывался браузер либо открывался сайт google и писал что то типо такого.

347387684773724.jpeg

Изменено пользователем 49advan
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты

1 минуту назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Я просто сейчас не дома, решил создать тему заранее.

Ссылка на комментарий
Поделиться на другие сайты

11 часов назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

CollectionLog-2025.05.17-02.00.zip

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Ссылка на комментарий
Поделиться на другие сайты

4 часа назад, Sandor сказал:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

у меня frst не работает, уходит в цикличный перезапуск, пишет что нашел обновление

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, Sandor сказал:

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

Ведёт нормально, порой зависает, отвисает только после отключения и включения звуковой карты. Радмин сам ставил, потом забил и просто открыл порты (27015, 25565 и 3389 вроде).

Ссылка на комментарий
Поделиться на другие сайты

22 часа назад, Sandor сказал:

Пожалуйста, не цитируйте полностью предыдущее сообщение

Не заметили?

 

4 часа назад, 49advan сказал:

просто открыл порты (27015, 25565 и 3389 вроде)

Всё равно, что открыть дверь и крупными буквами написать - ЗАХОДИТЕ!

 

4 часа назад, 49advan сказал:

отвисает только после отключения и включения звуковой карты.

Пробуйте переустановить драйвер звуковой платы. Впрочем, об этом лучше посоветоваться в соседнем разделе.

 

По нашей части больше ничего плохого не видно.

Соберите такой отчёт:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

А как мне на время отключить прослушивание портов с компа? Просто с роутера не хочется отрубать, порой нужен этот порт (27015), ост. закрою 

Ссылка на комментарий
Поделиться на другие сайты

8 часов назад, Sandor сказал:

об этом лучше посоветоваться в соседнем разделе.

Создайте там тему и ссылку на текущую там укажите.

 

 

Ссылка на комментарий
Поделиться на другие сайты

Да. По логу - только устаревшая система:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Ilyambuss
      Автор Ilyambuss
      Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.
      CollectionLog-2025.06.15-00.21.zip
    • Waldo
      Автор Waldo
      Добрый день!
      Резко возросла нагрузка на ГПУ до 100%, в диспетчере задач обнаружил WinServiceNetworking, который и выдает всю эту нагрузку.
      При снятии задачи автоматически появляется снова несколько минут спустя.
      "Открыть расположение файла" привело в папку "C:\ProgramData\WinAIHServiceProgram Data"
      В ней 4 файла:
      OpenCL.dll
      WinNetService.dat
      WinAIHService
      WinServiceNetworking
       
      В двух последних CureIT обнаружил трояна и майнера (tool.btcmine.2794) соответственно.
       
      Лог от Autologger во вложении.
       
      CollectionLog-2025.06.26-19.28.zip
    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • Turpal
      Автор Turpal
      Доброго времени суток.
      Проблема с найденным майнером tool.btcmine.2812. При удалении/обезвреживании файла (winaijservice.exe в одноименной папке), в котором он находится, он создается снова после перезагрузки компьютера. Прикладываю архив с логами сканирования от автологгера.
      CollectionLog-2025.06.26-15.13.zip
×
×
  • Создать...