Майнер

14 мая, 2017

Заметил подозрительную активность - постоянно появляется (раз в 15 минут) процесс attrib.exe (Утилита атрибутов) и грузит проц на 40+ процентов. При завершении процесса выскакивает еще несколько с ошибками, и в process hacker в атрибуте запуска наметил адрес manergate и какую то почту с рандомными симвалами.

Касперский та же нашел какой то пустой процесс svchost.exe и пометил его как не рекомендованный

Полное сканирование ничего не нашло.

CollectionLog-2017.05.15-02.30.zip

Изменено 14 мая, 2017 пользователем bebravebaby

15 мая, 2017

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.
Подробнее читайте в руководстве Как подготовить лог UVS.

15 мая, 2017

логи

+

https://virusinfo.info/virusdetector/report.php?md5=602E8A90255E6CE50A3A3381D58BE780

DESKTOP-23DON8E_2017-05-15_10-41-13.7z

ClearLNK-15.05.2017_10-37.log

15 мая, 2017

статические маршруты сами прописывали?

15 мая, 2017

статические маршруты сами прописывали?

Что конкретно вы имеете в виду?

15 мая, 2017

"Persistent routes:":

Persistent routes:

137.116.81.24,255.255.255.255,0.0.0.0,1

134.170.30.202,255.255.255.255,0.0.0.0,1

134.170.185.70,255.255.255.255,0.0.0.0,1

77.67.29.176,255.255.255.255,0.0.0.0,1

65.55.39.10,255.255.255.255,0.0.0.0,1

65.55.29.238,255.255.255.255,0.0.0.0,1

65.55.252.93,255.255.255.255,0.0.0.0,1

65.55.252.92,255.255.255.255,0.0.0.0,1

134.170.165.253,255.255.255.255,0.0.0.0,1

65.55.252.71,255.255.255.255,0.0.0.0,1

65.55.252.63,255.255.255.255,0.0.0.0,1

65.55.138.186,255.255.255.255,0.0.0.0,1

65.55.138.126,255.255.255.255,0.0.0.0,1

65.55.138.114,255.255.255.255,0.0.0.0,1

65.55.108.23,255.255.255.255,0.0.0.0,1

65.52.108.33,255.255.255.255,0.0.0.0,1

65.52.108.29,255.255.255.255,0.0.0.0,1

65.52.100.94,255.255.255.255,0.0.0.0,1

65.52.100.93,255.255.255.255,0.0.0.0,1

134.170.165.248,255.255.255.255,0.0.0.0,1

65.52.100.92,255.255.255.255,0.0.0.0,1

65.52.100.91,255.255.255.255,0.0.0.0,1

65.52.100.9,255.255.255.255,0.0.0.0,1

65.52.100.7,255.255.255.255,0.0.0.0,1

65.52.100.11,255.255.255.255,0.0.0.0,1

65.39.117.230,255.255.255.255,0.0.0.0,1

64.4.6.100,255.255.255.255,0.0.0.0,1

64.4.54.32,255.255.255.255,0.0.0.0,1

64.4.54.22,255.255.255.255,0.0.0.0,1

23.99.10.11,255.255.255.255,0.0.0.0,1

134.170.115.60,255.255.255.255,0.0.0.0,1

23.57.107.27,255.255.255.255,0.0.0.0,1

23.57.107.163,255.255.255.255,0.0.0.0,1

23.57.101.163,255.255.255.255,0.0.0.0,1

23.223.20.82,255.255.255.255,0.0.0.0,1

23.218.212.69,255.255.255.255,0.0.0.0,1

23.102.21.4,255.255.255.255,0.0.0.0,1

212.30.134.205,255.255.255.255,0.0.0.0,1

212.30.134.204,255.255.255.255,0.0.0.0,1

207.68.166.254,255.255.255.255,0.0.0.0,1

207.46.223.94,255.255.255.255,0.0.0.0,1

131.253.40.37,255.255.255.255,0.0.0.0,1

207.46.114.58,255.255.255.255,0.0.0.0,1

207.46.101.29,255.255.255.255,0.0.0.0,1

204.79.197.200,255.255.255.255,0.0.0.0,1

2.22.61.66,255.255.255.255,0.0.0.0,1

2.22.61.43,255.255.255.255,0.0.0.0,1

191.237.208.126,255.255.255.255,0.0.0.0,1

191.232.80.62,255.255.255.255,0.0.0.0,1

191.232.80.58,255.255.255.255,0.0.0.0,1

191.232.139.254,255.255.255.255,0.0.0.0,1

191.232.139.2,255.255.255.255,0.0.0.0,1

111.221.29.253,255.255.255.255,0.0.0.0,1

168.63.108.233,255.255.255.255,0.0.0.0,1

157.56.96.54,255.255.255.255,0.0.0.0,1

157.56.91.77,255.255.255.255,0.0.0.0,1

157.56.124.87,255.255.255.255,0.0.0.0,1

157.56.121.89,255.255.255.255,0.0.0.0,1

157.56.106.189,255.255.255.255,0.0.0.0,1

157.55.240.220,255.255.255.255,0.0.0.0,1

157.55.133.204,255.255.255.255,0.0.0.0,1

157.55.129.21,255.255.255.255,0.0.0.0,1

137.117.235.16,255.255.255.255,0.0.0.0,1

111.221.29.177,255.255.255.255,0.0.0.0,1

104.96.147.3,255.255.255.255,0.0.0.0,1

Всего: 65

И на момент сбора лога uVS проблема описанная в первом посте была актуальна? Не вижу такого процесса в логе.

Изменено 15 мая, 2017 пользователем regist

15 мая, 2017

"Persistent routes:":

Persistent routes:

137.116.81.24,255.255.255.255,0.0.0.0,1

134.170.30.202,255.255.255.255,0.0.0.0,1

134.170.185.70,255.255.255.255,0.0.0.0,1

77.67.29.176,255.255.255.255,0.0.0.0,1

65.55.39.10,255.255.255.255,0.0.0.0,1

65.55.29.238,255.255.255.255,0.0.0.0,1

65.55.252.93,255.255.255.255,0.0.0.0,1

65.55.252.92,255.255.255.255,0.0.0.0,1

134.170.165.253,255.255.255.255,0.0.0.0,1

65.55.252.71,255.255.255.255,0.0.0.0,1

65.55.252.63,255.255.255.255,0.0.0.0,1

65.55.138.186,255.255.255.255,0.0.0.0,1

65.55.138.126,255.255.255.255,0.0.0.0,1

65.55.138.114,255.255.255.255,0.0.0.0,1

65.55.108.23,255.255.255.255,0.0.0.0,1

65.52.108.33,255.255.255.255,0.0.0.0,1

65.52.108.29,255.255.255.255,0.0.0.0,1

65.52.100.94,255.255.255.255,0.0.0.0,1

65.52.100.93,255.255.255.255,0.0.0.0,1

134.170.165.248,255.255.255.255,0.0.0.0,1

65.52.100.92,255.255.255.255,0.0.0.0,1

65.52.100.91,255.255.255.255,0.0.0.0,1

65.52.100.9,255.255.255.255,0.0.0.0,1

65.52.100.7,255.255.255.255,0.0.0.0,1

65.52.100.11,255.255.255.255,0.0.0.0,1

65.39.117.230,255.255.255.255,0.0.0.0,1

64.4.6.100,255.255.255.255,0.0.0.0,1

64.4.54.32,255.255.255.255,0.0.0.0,1

64.4.54.22,255.255.255.255,0.0.0.0,1

23.99.10.11,255.255.255.255,0.0.0.0,1

134.170.115.60,255.255.255.255,0.0.0.0,1

23.57.107.27,255.255.255.255,0.0.0.0,1

23.57.107.163,255.255.255.255,0.0.0.0,1

23.57.101.163,255.255.255.255,0.0.0.0,1

23.223.20.82,255.255.255.255,0.0.0.0,1

23.218.212.69,255.255.255.255,0.0.0.0,1

23.102.21.4,255.255.255.255,0.0.0.0,1

212.30.134.205,255.255.255.255,0.0.0.0,1

212.30.134.204,255.255.255.255,0.0.0.0,1

207.68.166.254,255.255.255.255,0.0.0.0,1

207.46.223.94,255.255.255.255,0.0.0.0,1

131.253.40.37,255.255.255.255,0.0.0.0,1

207.46.114.58,255.255.255.255,0.0.0.0,1

207.46.101.29,255.255.255.255,0.0.0.0,1

204.79.197.200,255.255.255.255,0.0.0.0,1

2.22.61.66,255.255.255.255,0.0.0.0,1

2.22.61.43,255.255.255.255,0.0.0.0,1

191.237.208.126,255.255.255.255,0.0.0.0,1

191.232.80.62,255.255.255.255,0.0.0.0,1

191.232.80.58,255.255.255.255,0.0.0.0,1

191.232.139.254,255.255.255.255,0.0.0.0,1

191.232.139.2,255.255.255.255,0.0.0.0,1

111.221.29.253,255.255.255.255,0.0.0.0,1

168.63.108.233,255.255.255.255,0.0.0.0,1

157.56.96.54,255.255.255.255,0.0.0.0,1

157.56.91.77,255.255.255.255,0.0.0.0,1

157.56.124.87,255.255.255.255,0.0.0.0,1

157.56.121.89,255.255.255.255,0.0.0.0,1

157.56.106.189,255.255.255.255,0.0.0.0,1

157.55.240.220,255.255.255.255,0.0.0.0,1

157.55.133.204,255.255.255.255,0.0.0.0,1

157.55.129.21,255.255.255.255,0.0.0.0,1

137.117.235.16,255.255.255.255,0.0.0.0,1

111.221.29.177,255.255.255.255,0.0.0.0,1

104.96.147.3,255.255.255.255,0.0.0.0,1

Всего: 65

И на момент сбора лога uVS проблема описанная в первом посте была актуальна? Не вижу такого процесса в логе.

ну я не уверен... Я правым глазом его замечал (этот процесс утилиты атрибутов), сейчас еще помониторю (только за комп сел), пока вроде бы не появляется

Маршруты сам не прописывал

15 мая, 2017

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.3 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
regt 13
;---------command-block---------
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\CHROME_BITS_9356_31790\7.54_ALL_EASYLIST.CRX
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\SVCHOST.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\VIVALDI\APPLICATION\UPDATE_NOTIFIER.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A792A02D5589E42164ADBEE57C1AB617\85915F2E2B6C43902893DF925D1CE80AD12EAF0B_3
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDSF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\MSDESIGNERS8\\MSDDSLM.DLL
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\YUPDATE-PING-YADISK.TEMP
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\\COLOADER80.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
apply

restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

Подробнее читайте в руководстве.

Изменено 15 мая, 2017 пользователем regist

15 мая, 2017

@regist, скрипт пустой, ничего не выполнять ?

Malwarebytes ничего не нашел

Изменено 15 мая, 2017 пользователем bebravebaby

15 мая, 2017

Извиняюсь, поправил.

15 мая, 2017

@regist, выполнил, комп перезагрузился, что то надо прикладывать еще или все?

Изменено 15 мая, 2017 пользователем bebravebaby

15 мая, 2017

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

MBAM деинсталируйте. Нет у вас никакого майнера. На этом всё.

Удачи .

Майнер

Рекомендуемые сообщения

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

bebravebaby

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum