Перейти к содержанию
Правила раздела

Подозрение на BitCoinMiner

rustorkan

От rustorkan
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 38
  • Created
  • Последний ответ

Top Posters In This Topic

  • rustorkan

    20

  • regist

    14

  • Sandor

    5

Popular Days

Top Posters In This Topic

Popular Days

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10

Smart Defrag 5

Файл

c:\users\admin\desktop\21kmnjjr.exe

Вам известен?

 

Повторите CollectionLog, только без запущенного CureIt.

Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

удалите нежелательное ПО

Удалил.

 

 

 

c:\users\admin\desktop\21kmnjjr.exe

Dr.Web CureIt

...

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Распишите подробнее чем вызвано Ваше подозрение.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

В диспетчере задач 3 непонятных процесса System.exe

Расположение C:\ProgramData\DirectX11b, C:\ProgramData\WindowsSQL, C:\ProgramData\Framework

На virustotal эти файлы определяются антивирусами Eset Nod 32 и Dr. Web как BitCoin Miner.


...

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

На virustotal эти файлы определяются

Покажите ссылки.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

https://www.virustotal.com/ru/file/01c05f769a2018303f99c42ce112d715bfa62990fd4ff656474294f4187f5d41/analysis/1498567937/


https://www.virustotal.com/ru/file/d17ce79808fb6677a526c10a052ae21fafbc81502ffc091e8d039b2104d6bd5e/analysis/1498567960/

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSSQL
bl 78A0ACD6C99B1B9C70B112018404E2F7 83456
zoo %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
deldir %SystemDrive%\PROGRAMDATA\WINDOWSSQL
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE ULTIMATE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\4.2.0\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\RAIDCALL.EXE
bl D506921989872994B9C5615D4761882C 128288
zoo %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
delall %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
apply

czoo
restart

Установите и сделайте свежий лог сканирования MBAM и прикрепите. Он у вас, кстати, криво удалился. А тут на днях соседняя тема была как раз о том, что из-за криво удалённого MBAM система не загружалась

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанных ниже строк - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

 

Подробнее читайте в руководстве.

 

Файл:
RiskWare.Tool.HCK, C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\KG.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
RiskWare.Tool.HCK, C:\USERS\1\DESKTOP\софтина\KEYMAKER.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Control
      [РЕШЕНО] Подозрение на майнер
      От Control
      Здравствуйте, недавно скачивал с торрентов сериал и пару игр, через пару дней заметил что ноутбук(acer nitro v15) начал шуметь при бездействии, заглянул в диспетчер задач, там сразу нагрузка на цп составляла около 100%, через мгновенье стала на уровне 2-3%, пробовал переустанавливать систему, поставил вместо 11 винды 10ую, изменений не увидел, помогите пожалуйста.
      CollectionLog-2024.12.29-16.01.zip
    • Артуp
      Подозрение на майнер
      От Артуp
      Использую обход ограничения дискорда и ютуба через скрипт, как в посте у данного пользователя. Но у меня компьютер сам включается, если его в сон закидывать. Что с этим делать? Вот Файл архива с образом автозапуска из uVS
       
      WIN-IP6ESJ6INRU_2025-01-01_21-10-23_v4.99.5v x64.7z
    • tkm
      Подозрения на вирус/майнер
      От tkm
      Здравствуйте!
      Есть подозрение, что мне что-то прислали по почте. Открыл вложение и комп стал себя вести странно. 
      Помогите, пожалуйста
      CollectionLog-2024.12.28-12.35.zip
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
×
×
  • Создать...