Перейти к содержанию
Правила раздела

Подозрение на BitCoinMiner

rustorkan

От rustorkan
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

  • Ответов 38
  • Created
  • Последний ответ

Top Posters In This Topic

  • rustorkan

    20

  • regist

    14

  • Sandor

    5

Popular Days

Top Posters In This Topic

Popular Days

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10

Smart Defrag 5

Файл

c:\users\admin\desktop\21kmnjjr.exe

Вам известен?

 

Повторите CollectionLog, только без запущенного CureIt.

Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

удалите нежелательное ПО

Удалил.

 

 

 

c:\users\admin\desktop\21kmnjjr.exe

Dr.Web CureIt

...

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Распишите подробнее чем вызвано Ваше подозрение.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

В диспетчере задач 3 непонятных процесса System.exe

Расположение C:\ProgramData\DirectX11b, C:\ProgramData\WindowsSQL, C:\ProgramData\Framework

На virustotal эти файлы определяются антивирусами Eset Nod 32 и Dr. Web как BitCoin Miner.


...

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

На virustotal эти файлы определяются

Покажите ссылки.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
rustorkan Продвинутый

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

https://www.virustotal.com/ru/file/01c05f769a2018303f99c42ce112d715bfa62990fd4ff656474294f4187f5d41/analysis/1498567937/


https://www.virustotal.com/ru/file/d17ce79808fb6677a526c10a052ae21fafbc81502ffc091e8d039b2104d6bd5e/analysis/1498567960/

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSSQL
bl 78A0ACD6C99B1B9C70B112018404E2F7 83456
zoo %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
deldir %SystemDrive%\PROGRAMDATA\WINDOWSSQL
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE ULTIMATE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\4.2.0\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\RAIDCALL.EXE
bl D506921989872994B9C5615D4761882C 128288
zoo %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
delall %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
apply

czoo
restart

Установите и сделайте свежий лог сканирования MBAM и прикрепите. Он у вас, кстати, криво удалился. А тут на днях соседняя тема была как раз о том, что из-за криво удалённого MBAM система не загружалась

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанных ниже строк - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

 

Подробнее читайте в руководстве.

 

Файл:
RiskWare.Tool.HCK, C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\KG.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
RiskWare.Tool.HCK, C:\USERS\1\DESKTOP\софтина\KEYMAKER.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Salieri
      Подозрения на вирусы, помощь. Торможения
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      Подозрение на вирусы, майнер
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • iLuminate
      Подозрение на взлом сервера
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...