Майнер

[bebravebaby]

Заметил подозрительную активность - постоянно появляется (раз в 15 минут) процесс attrib.exe (Утилита атрибутов) и грузит проц на 40+ процентов. При завершении процесса выскакивает еще несколько с ошибками, и в process hacker в атрибуте запуска наметил адрес manergate и какую то почту с рандомными симвалами.

 

Касперский та же нашел какой то пустой процесс svchost.exe и пометил его как не рекомендованный

 

Полное сканирование ничего не нашло.

 

CollectionLog-2017.05.15-02.30.zip

Изменено 14 мая, 2017 пользователем bebravebaby

[regist]

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

 - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

5. Подробнее читайте в руководстве Как подготовить лог UVS.

 

[bebravebaby]

логи

+

https://virusinfo.info/virusdetector/report.php?md5=602E8A90255E6CE50A3A3381D58BE780

DESKTOP-23DON8E_2017-05-15_10-41-13.7z

ClearLNK-15.05.2017_10-37.log

[regist]

статические маршруты сами прописывали?

[bebravebaby]

статические маршруты сами прописывали?

Что конкретно вы имеете в виду?

[regist]

"Persistent routes:":

 

Persistent routes:

137.116.81.24,255.255.255.255,0.0.0.0,1

134.170.30.202,255.255.255.255,0.0.0.0,1

134.170.185.70,255.255.255.255,0.0.0.0,1

77.67.29.176,255.255.255.255,0.0.0.0,1

65.55.39.10,255.255.255.255,0.0.0.0,1

65.55.29.238,255.255.255.255,0.0.0.0,1

65.55.252.93,255.255.255.255,0.0.0.0,1

65.55.252.92,255.255.255.255,0.0.0.0,1

134.170.165.253,255.255.255.255,0.0.0.0,1

65.55.252.71,255.255.255.255,0.0.0.0,1

65.55.252.63,255.255.255.255,0.0.0.0,1

65.55.138.186,255.255.255.255,0.0.0.0,1

65.55.138.126,255.255.255.255,0.0.0.0,1

65.55.138.114,255.255.255.255,0.0.0.0,1

65.55.108.23,255.255.255.255,0.0.0.0,1

65.52.108.33,255.255.255.255,0.0.0.0,1

65.52.108.29,255.255.255.255,0.0.0.0,1

65.52.100.94,255.255.255.255,0.0.0.0,1

65.52.100.93,255.255.255.255,0.0.0.0,1

134.170.165.248,255.255.255.255,0.0.0.0,1

65.52.100.92,255.255.255.255,0.0.0.0,1

65.52.100.91,255.255.255.255,0.0.0.0,1

65.52.100.9,255.255.255.255,0.0.0.0,1

65.52.100.7,255.255.255.255,0.0.0.0,1

65.52.100.11,255.255.255.255,0.0.0.0,1

65.39.117.230,255.255.255.255,0.0.0.0,1

64.4.6.100,255.255.255.255,0.0.0.0,1

64.4.54.32,255.255.255.255,0.0.0.0,1

64.4.54.22,255.255.255.255,0.0.0.0,1

23.99.10.11,255.255.255.255,0.0.0.0,1

134.170.115.60,255.255.255.255,0.0.0.0,1

23.57.107.27,255.255.255.255,0.0.0.0,1

23.57.107.163,255.255.255.255,0.0.0.0,1

23.57.101.163,255.255.255.255,0.0.0.0,1

23.223.20.82,255.255.255.255,0.0.0.0,1

23.218.212.69,255.255.255.255,0.0.0.0,1

23.102.21.4,255.255.255.255,0.0.0.0,1

212.30.134.205,255.255.255.255,0.0.0.0,1

212.30.134.204,255.255.255.255,0.0.0.0,1

207.68.166.254,255.255.255.255,0.0.0.0,1

207.46.223.94,255.255.255.255,0.0.0.0,1

131.253.40.37,255.255.255.255,0.0.0.0,1

207.46.114.58,255.255.255.255,0.0.0.0,1

207.46.101.29,255.255.255.255,0.0.0.0,1

204.79.197.200,255.255.255.255,0.0.0.0,1

2.22.61.66,255.255.255.255,0.0.0.0,1

2.22.61.43,255.255.255.255,0.0.0.0,1

191.237.208.126,255.255.255.255,0.0.0.0,1

191.232.80.62,255.255.255.255,0.0.0.0,1

191.232.80.58,255.255.255.255,0.0.0.0,1

191.232.139.254,255.255.255.255,0.0.0.0,1

191.232.139.2,255.255.255.255,0.0.0.0,1

111.221.29.253,255.255.255.255,0.0.0.0,1

168.63.108.233,255.255.255.255,0.0.0.0,1

157.56.96.54,255.255.255.255,0.0.0.0,1

157.56.91.77,255.255.255.255,0.0.0.0,1

157.56.124.87,255.255.255.255,0.0.0.0,1

157.56.121.89,255.255.255.255,0.0.0.0,1

157.56.106.189,255.255.255.255,0.0.0.0,1

157.55.240.220,255.255.255.255,0.0.0.0,1

157.55.133.204,255.255.255.255,0.0.0.0,1

157.55.129.21,255.255.255.255,0.0.0.0,1

137.117.235.16,255.255.255.255,0.0.0.0,1

111.221.29.177,255.255.255.255,0.0.0.0,1

104.96.147.3,255.255.255.255,0.0.0.0,1

Всего: 65

 

И на момент сбора лога uVS проблема описанная в первом посте была актуальна? Не вижу такого процесса в логе.

Изменено 15 мая, 2017 пользователем regist

[bebravebaby]

"Persistent routes:":

 

Persistent routes:

137.116.81.24,255.255.255.255,0.0.0.0,1

134.170.30.202,255.255.255.255,0.0.0.0,1

134.170.185.70,255.255.255.255,0.0.0.0,1

77.67.29.176,255.255.255.255,0.0.0.0,1

65.55.39.10,255.255.255.255,0.0.0.0,1

65.55.29.238,255.255.255.255,0.0.0.0,1

65.55.252.93,255.255.255.255,0.0.0.0,1

65.55.252.92,255.255.255.255,0.0.0.0,1

134.170.165.253,255.255.255.255,0.0.0.0,1

65.55.252.71,255.255.255.255,0.0.0.0,1

65.55.252.63,255.255.255.255,0.0.0.0,1

65.55.138.186,255.255.255.255,0.0.0.0,1

65.55.138.126,255.255.255.255,0.0.0.0,1

65.55.138.114,255.255.255.255,0.0.0.0,1

65.55.108.23,255.255.255.255,0.0.0.0,1

65.52.108.33,255.255.255.255,0.0.0.0,1

65.52.108.29,255.255.255.255,0.0.0.0,1

65.52.100.94,255.255.255.255,0.0.0.0,1

65.52.100.93,255.255.255.255,0.0.0.0,1

134.170.165.248,255.255.255.255,0.0.0.0,1

65.52.100.92,255.255.255.255,0.0.0.0,1

65.52.100.91,255.255.255.255,0.0.0.0,1

65.52.100.9,255.255.255.255,0.0.0.0,1

65.52.100.7,255.255.255.255,0.0.0.0,1

65.52.100.11,255.255.255.255,0.0.0.0,1

65.39.117.230,255.255.255.255,0.0.0.0,1

64.4.6.100,255.255.255.255,0.0.0.0,1

64.4.54.32,255.255.255.255,0.0.0.0,1

64.4.54.22,255.255.255.255,0.0.0.0,1

23.99.10.11,255.255.255.255,0.0.0.0,1

134.170.115.60,255.255.255.255,0.0.0.0,1

23.57.107.27,255.255.255.255,0.0.0.0,1

23.57.107.163,255.255.255.255,0.0.0.0,1

23.57.101.163,255.255.255.255,0.0.0.0,1

23.223.20.82,255.255.255.255,0.0.0.0,1

23.218.212.69,255.255.255.255,0.0.0.0,1

23.102.21.4,255.255.255.255,0.0.0.0,1

212.30.134.205,255.255.255.255,0.0.0.0,1

212.30.134.204,255.255.255.255,0.0.0.0,1

207.68.166.254,255.255.255.255,0.0.0.0,1

207.46.223.94,255.255.255.255,0.0.0.0,1

131.253.40.37,255.255.255.255,0.0.0.0,1

207.46.114.58,255.255.255.255,0.0.0.0,1

207.46.101.29,255.255.255.255,0.0.0.0,1

204.79.197.200,255.255.255.255,0.0.0.0,1

2.22.61.66,255.255.255.255,0.0.0.0,1

2.22.61.43,255.255.255.255,0.0.0.0,1

191.237.208.126,255.255.255.255,0.0.0.0,1

191.232.80.62,255.255.255.255,0.0.0.0,1

191.232.80.58,255.255.255.255,0.0.0.0,1

191.232.139.254,255.255.255.255,0.0.0.0,1

191.232.139.2,255.255.255.255,0.0.0.0,1

111.221.29.253,255.255.255.255,0.0.0.0,1

168.63.108.233,255.255.255.255,0.0.0.0,1

157.56.96.54,255.255.255.255,0.0.0.0,1

157.56.91.77,255.255.255.255,0.0.0.0,1

157.56.124.87,255.255.255.255,0.0.0.0,1

157.56.121.89,255.255.255.255,0.0.0.0,1

157.56.106.189,255.255.255.255,0.0.0.0,1

157.55.240.220,255.255.255.255,0.0.0.0,1

157.55.133.204,255.255.255.255,0.0.0.0,1

157.55.129.21,255.255.255.255,0.0.0.0,1

137.117.235.16,255.255.255.255,0.0.0.0,1

111.221.29.177,255.255.255.255,0.0.0.0,1

104.96.147.3,255.255.255.255,0.0.0.0,1

Всего: 65

 

И на момент сбора лога uVS проблема описанная в первом посте была актуальна? Не вижу такого процесса в логе.

 

ну я не уверен... Я правым глазом его замечал (этот процесс утилиты атрибутов), сейчас еще помониторю (только за комп сел), пока вроде бы не появляется

 

Маршруты сам не прописывал

[regist]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.3 [http://dsrt.dyndns.org]
  ;Target OS: NTv10.0
  v400c
  BREG
  regt 13
  ;---------command-block---------
  delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\CHROME_BITS_9356_31790\7.54_ALL_EASYLIST.CRX
  delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\SVCHOST.EXE
  delref %SystemDrive%\USERS\1\APPDATA\LOCAL\VIVALDI\APPLICATION\UPDATE_NOTIFIER.EXE
  delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A792A02D5589E42164ADBEE57C1AB617\85915F2E2B6C43902893DF925D1CE80AD12EAF0B_3
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDS.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDSF.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDSLM.DLL
  delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\YUPDATE-PING-YADISK.TEMP
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\\COLOADER80.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\MSO.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
  apply
  
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

 

Изменено 15 мая, 2017 пользователем regist

[bebravebaby]

@regist, скрипт пустой, ничего не выполнять ?

 

 

 Malwarebytes ничего не нашел 

Изменено 15 мая, 2017 пользователем bebravebaby

[regist]

Извиняюсь, поправил.

[bebravebaby]

@regist, выполнил, комп перезагрузился, что то надо прикладывать еще или все?

Изменено 15 мая, 2017 пользователем bebravebaby

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

MBAM деинсталируйте. Нет у вас никакого майнера. На этом всё.

 

Удачи .