Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. Поймал троян-майнер. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста

CollectionLog-2025.07.01-00.20.zip

Опубликовано

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Опубликовано

Сделал

6 часов назад, safety сказал:

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

BVV_2025-07-01_14-08-37_v5.0.RC3.v x64.7z

Опубликовано

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Опубликовано
3 часа назад, safety сказал:

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
del %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5106.64\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BAURZ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.0.1973\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXTELEMOST\2.5.0.5828\YANDEXTELEMOST.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\UNINSTALL\INSTALLER.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\ZOOM\BIN\ZOOM.EXE
delref %SystemDrive%\USERS\BAURZ\APPDATA\ROAMING\YANDEX\YANDEXDISK2\3.2.28.4901\YANDEXDISK2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Готово

ZOO_2025-07-01_19-45-43.7z FRST.txt

Опубликовано

Второй файл из логов FRST так же нужен. Addition.txt

Опубликовано
2 часа назад, safety сказал:

Второй файл из логов FRST так же нужен. Addition.txt

 

Addition.txt

Опубликовано

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

  • Like (+1) 1
Опубликовано
21 час назад, safety сказал:

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

Да, проблема майнера не ушла, так же появляется после перезагрузки системы.  (Win64/Miner.BitMiner.HgEATpUA)

Fixlog.txt

Опубликовано (изменено)

Такой скрипт выполните в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\
deldirex %SystemDrive%\PROGRAMDATA\WINAIHSERVICE
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
  • Like (+1) 1
Опубликовано

Можно без цитирования  обойтись?

Просто написать краткий комментарий, что изменилось или не изменилось после выполнения рекомендаций в сообщении, и необходимые логи, которые запросили.

  • Like (+1) 1
Опубликовано (изменено)

Такой скрипт еще выполните в FRST

 

Start::
HKLM\...\Run: [Win AIH Service] => C:\ProgramData\WinAIHService\WinAIHService.exe (Нет файла)
2025-07-04 16:20 - 2025-05-06 18:50 - 000000000 ____D C:\ProgramData\WinAIHService
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой майнера? Продолжается восстановление после перезагрузки системы или нет.

 

Если проблема решена:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
  • Like (+1) 1
Опубликовано

Извините, думал Вам проще будет отслеживать если делать цитату. 

Последний скрипт в UVs дал плоды. Сегодня майнер не появлялся, сколько бы не перезагружал. 

Fixlog.txt SecurityCheck.txt

Опубликовано (изменено)

Да, тут куда уж проще, вдвоем общаемся :), иногда может кто-то еще из консультантов или модераторов подключиться. И все. Нет проблем, поднять голову вверх, и просмотреть предыдущие сообщения.

Проще как раз, когда один пишет за другим. Цитирование полезно в том случае, если вы комментируете более раннее сообщение, или есть необходимость сделать на чем то акцент.

 

По возможности, обновите данное ПО:

 

Среда выполнения Microsoft Edge WebView2 Runtime v.137.0.3296.93 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Steam v.2.10.91.91
TechPowerUp GPU-Z v.2.65.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.105.0601.0002 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.16.1 Внимание! Скачать обновления

Yandex v.25.6.0.2370 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.138.0.7204.96 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

 

Изменено пользователем safety
  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • woi12
      Автор woi12
      Здравствуйте, проблема решилась таким образом? И на каком этапе? Вроде как программа kaspersky сама справилась с удалением файла и я пока не заметил никаких проблем, но для безопасности сделал все пункты до скана FRCT (включительно).
       
      Сообщение от модератора thyrex Перенесено из темы
    • anonymous7
      Автор anonymous7
      Подозреваю что зашел на какой-нибудь сайт который мне и подкинул вирус. в диспетчере задач появились 2 setup.exe, я их отключаю но после перезапуска компа они снова работают и вирус после удаление тоже востанавливается. Скинул скрин пути к вирусу. Malwarebytes после перезагрузки сразу помещает в карантин вирус

    • Anton3456
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • Adowne
      Автор Adowne
      Доброго времени суток.

      Через Malwarebytes решил проверить пк на вирусы, обнаружился некий товарищ, появился сервис KMDIPP с путём C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe, просмотрел через реестр, удалял, менял значения, в свою очередь сервис пересоздавался и бойкотировал, отправляя левый трафик на непонятные порты. (скриншот прикрепил)
      После проходки Uvs, доверенные процессы логгер пометил подозрительными. (лог прикрепил)
      После происходящего, сел на Dr.Web, пришло много заблокированных команд с Powershell (Прикрепить не могу, расширение файла другое), потом успокоился, прошёлся снова Uvs в надежде, что это что-то исправит, однако те же процессы как Dialer.exe и прочие были помечены а сервис KMDIPP с exeшником остался.


      CollectionLog через AutoLogger сделал после всех манипуляций.
       

      CollectionLog-2025.05.31-13.16.zip USER-PC_2025-05-31_11-05-12_v5.0.RC2.v x64.7z
    • Serega11Rus
      Автор Serega11Rus
      Здравствуйте. Скорее всего поймал троян-майнер. Комп в режиме ожидания нагружает ЦП, при включении диспетчера задач, процессор со 100% нагрузки падает моментально на 3-6%. Чищу антивирусом и после перезагрузки появляется снова. Помогите разобраться, пожалуйста
      CollectionLog-2025.07.02-12.36.zip
×
×
  • Создать...