Перейти к содержанию
Правила раздела

Подозрение на BitCoinMiner

rustorkan

Автор rustorkan
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 38
  • Создана
  • Последний ответ

Топ авторов темы

  • rustorkan

    20

  • regist

    14

  • Sandor

    5

Популярные дни

Топ авторов темы

Популярные дни

Sandor

Sandor

Опубликовано
Опубликовано

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Advanced SystemCare 10

Smart Defrag 5

Файл

c:\users\admin\desktop\21kmnjjr.exe

Вам известен?

 

Повторите CollectionLog, только без запущенного CureIt.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Распишите подробнее чем вызвано Ваше подозрение.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[sx].txt.
  • Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты
rustorkan

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

В диспетчере задач 3 непонятных процесса System.exe

Расположение C:\ProgramData\DirectX11b, C:\ProgramData\WindowsSQL, C:\ProgramData\Framework

На virustotal эти файлы определяются антивирусами Eset Nod 32 и Dr. Web как BitCoin Miner.


...

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

На virustotal эти файлы определяются

Покажите ссылки.

 

Далее:

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
rustorkan

rustorkan

Опубликовано
  • Автор
Опубликовано (изменено)

https://www.virustotal.com/ru/file/01c05f769a2018303f99c42ce112d715bfa62990fd4ff656474294f4187f5d41/analysis/1498567937/


https://www.virustotal.com/ru/file/d17ce79808fb6677a526c10a052ae21fafbc81502ffc091e8d039b2104d6bd5e/analysis/1498567960/

Изменено пользователем rustorkan
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Выполните скрипт в uVS
 

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\WINDOWSSQL
bl 78A0ACD6C99B1B9C70B112018404E2F7 83456
zoo %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSSQL\COM SURROGATE.EXE
deldir %SystemDrive%\PROGRAMDATA\WINDOWSSQL
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE ULTIMATE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\4.2.0\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL.RU\RAIDCALL.EXE
bl D506921989872994B9C5615D4761882C 128288
zoo %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
delall %Sys32%\IOBITSMARTDEFRAGEXTENSION.DLL
apply

czoo
restart

Установите и сделайте свежий лог сканирования MBAM и прикрепите. Он у вас, кстати, криво удалился. А тут на днях соседняя тема была как раз о том, что из-за криво удалённого MBAM система не загружалась

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками все, кроме указанных ниже строк - нажмите "Поместить выделенные объекты в карантин" ("Quarantine Selected") - смотрите, что удаляете.

 

Подробнее читайте в руководстве.

 

Файл:
RiskWare.Tool.HCK, C:\USERS\ADMIN\APPDATA\LOCAL\TEMP\KG.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
RiskWare.Tool.HCK, C:\USERS\1\DESKTOP\софтина\KEYMAKER.EXE, Проигнорировано пользователем, [2262], [64690],1.0.2247
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Шораан
      Подозрение на Trojan.Win32.Penguish.bzb
      Автор Шораан
      Здравствуйте! У меня подозрения на тот же вирус. Проверил сканером предложенным выше , посмотрите пожалуйста отчет
      Addition.zip
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...