Перейти к содержанию

Xmrig использует все ресурсы


Рекомендуемые сообщения

Процесс Xmrig использует все ресурсы, через некоторое время после удаления процесса и удаления всей папки с данным файлом, он чудесным образом появляется снова. Прошу помощи специалистов

CollectionLog-2017.10.24-16.02.zip

Ссылка на комментарий
Поделиться на другие сайты

@iceberg31, эту тему тоже бросите на пол пути?

 

По правилам до запуска Autologger-а, следует пройтись одной из лечащих утилит. Вы это проделали?

Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\svhost\eternalblue-2.2.0.exe');
 TerminateProcessByName('c:\windows\hashstrem\client.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\min\local.exe');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('C:\ProgramData\Rundll\start.vbs', '');
 QuarantineFile('c:\programdata\svhost\eternalblue-2.2.0.exe', '');
 QuarantineFile('c:\windows\hashstrem\client.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\min\local.exe', '');
 DeleteFile('C:\ProgramData\Rundll\start.vbs', '32');
 DeleteFile('c:\programdata\svhost\eternalblue-2.2.0.exe', '32');
 DeleteFile('c:\windows\hashstrem\client.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\min\local.exe', '32');
 DeleteService('AdobeFlashPlayerHash');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты

Вирус [KLAN-7031334846]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
start.vbs
mms.exe

В следующих файлах обнаружен вредоносный код:
eternalblue-2.2.0.exe - Exploit.Win32.ShadowBrokers.ae
client.exe - Trojan.Win32.Blouiroet.o

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2017.10.24-16.54.zip

Изменено пользователем iceberg31
Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\GECKO\SECURESURF.BROWSER.CLIENT.EXE
    bl 8679B7B0A203510F221A3F9907EA8FC4 14848
    addsgn 1AC0739A55834C720BD4C4A50C5028452562D6F089FA2C8E0CB6213525368E595B27835731E245C05E7CE03E5E1649FAF68FECF9AB64787F6D772FE5F4C6D27C 8 Win32/Webisida.F [ESET-NOD32] 7
    
    zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\TASKHOSTEX.EXE
    bl 9281F6DFCDFA7B64A5628CD15CEE31AE 685568
    addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Starter.7365 [DrWeb] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LAUNCHER.EXE
    bl 72490564C3F6DE5B7A6437D26D523846 2134056
    addsgn A7679B19919AF4922E8FAE59E43DF6FA84266DAA89711F9011223043F17AE010239CC3E53FBD3BB7DE7F359EFCB6F0A17D7E0CA619DA58AD19855BA4CA6EB12F 8 Tool.Click.38 [DrWeb] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASPWING.EXE
    bl 7C4815F4AA24D8D27E90A4D75849D0DD 1807400
    addsgn A7679B234D6A4C7261D4C4B12DBDEB549DD6E0A589122D6E683CF67C05BE34E67017A7A80E311469998125FFCC4549128D6A048DF6BE2C792DCFCCB39206A966 8 Tool.Click.38 [DrWeb] 7
    
    zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASP.EXE
    bl E93ECC5D23CA7DBEC00712B735D6821B 6184480
    addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DA0D74671A477F96DA80D95C8217964159F22E9799EF4FF0027E01A4FC4D55A0BD02F819CB3 8 Tool.Click.38 [DrWeb] 7
    
    chklst
    delvir
    
    dirzooex %SystemRoot%\INF\NETLIBRARIESTIP
    deldir %SystemRoot%\INF\NETLIBRARIESTIP
    deldir %SystemRoot%\INF\AXPERFLIB
    dirzooex %SystemDrive%\PROGRAMDATA\SVHOST
    zoo %SystemRoot%\SYSWOW64\LSM.EXE
    delall %SystemRoot%\SYSWOW64\LSM.EXE
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\COLI-0.DLL
    bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers 7
    
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRCH-1.DLL
    bl 838CEB02081AC27DE43DA56BEC20FC76 59904
    addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\EXMA-1.DLL
    bl BA629216DB6CF7C0C720054B0C9A13F3 10240
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\UCL.DLL
    bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers. [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\XDVL-0.DLL
    bl 5B72CCFA122E403919A613785779AF49 32256
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B4FBCB3E4514441F1C848FCF0379667DCF616F7946B03CA4428CB3C716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
    
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\X86.DLL
    bl 962F43CC8D23794E1E61A1A0C72F39FA 83456
    addsgn A7679B1928664D070E3C96B064C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9F749D495947F4606B68F7520FD7EB5DAA0442473A4EF38133693 64 Trojan.Win32.Blouiroet. [Kaspersky] 7
    
    bl A539D27F33EF16E52430D3D2E92E9D5C 100864
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\CNLI-1.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\CNLI-1.DLL
    bl F82FA69BFE0522163EB0CF8365497DA2 17408
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\CRLI-0.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\CRLI-0.DLL
    bl C24315B0585B852110977DACAFE6C8C1 45568
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\DOUBLEPULSAR-1.3.1.EXE
    delall %SystemDrive%\PROGRAMDATA\SVHOST\DOUBLEPULSAR-1.3.1.EXE
    bl F01F09FE90D0F810C44DCE4E94785227 903168
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\LIBEAY32.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\LIBEAY32.DLL
    bl 9A5CEC05E9C158CBC51CDC972693363D 826368
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\LIBXML2.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\LIBXML2.DLL
    bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\POSH-0.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\POSH-0.DLL
    bl 5E8ECDC3E70E2ECB0893CBDA2C18906F 184320
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\SSLEAY32.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\SSLEAY32.DLL
    bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\TIBE-2.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\TIBE-2.DLL
    bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRFO-2.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\TRFO-2.DLL
    bl 83076104AE977D850D1E015704E5730A 9216
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\TUCL-1.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\TUCL-1.DLL
    bl DB2BF49BA0F14E42E315D6B95B38981B 99840
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\X64.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\X64.DLL
    bl E4AD4DF4E41240587B4FE8BBCB32DB15 60416
    zoo %SystemDrive%\PROGRAMDATA\SVHOST\ZLIB1.DLL
    delall %SystemDrive%\PROGRAMDATA\SVHOST\ZLIB1.DLL
    deldir %SystemDrive%\PROGRAMDATA\SVHOST
    zoo %SystemDrive%\PROGRAMDATA\RUNDLL\TRCH.DLL
    bl 01D5ADBFEE39C5807EE46F7990F5FDA7 49664
    addsgn 98E01F4AF06A5C9A4ED5AEB15708528C606ECF090087E3F3F0CFFE4B25DA487173C7C34731D131492B80BF6F3213CA047FAAD9D3350AB03C16B0D02338733225 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
    
    dirzooex %SystemDrive%\PROGRAMDATA\RUNDLL
    deldir %SystemDrive%\PROGRAMDATA\RUNDLL
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

сделайте свежий лог uVS.

Ссылка на комментарий
Поделиться на другие сайты

 

 


Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
где?
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • shepp0
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • loner1n
      Автор loner1n
      вот этого жука увидел у себя в диспетчере задач, делал проверку с Kaspersky Virus Removal Tool и Dr.Web Cureit. При удалении через касперского показывало что что то удалило, а после перезагрузки заново находило его же

      FRST.txt
    • Вадим666
      Автор Вадим666
      Позвонили с номера +74992704007 либо +74992704007@mangosip.ru уточнили использую ли я касперский после слов что я его тестирую сказали хорошо до свидания причем звонок на рабочий телефон спрашивали ИТ спеца?? данный телефон ный номер как то связан с Касперским?? 
    • KL FC Bot
      Автор KL FC Bot
      Первый шаг на пути к успеху для киберпреступников при проведении почтовой атаки — добиться того, чтобы их письма попались на глаза потенциальным жертвам. Недавно мы уже рассказывали, как мошенники используют для этого уведомления от вполне легитимного сервиса для отправки больших файлов GetShared. Сегодня мы рассмотрим еще один вариант доставки вредоносных сообщений: в этой схеме злоумышленники научились добавлять свои сообщения в настоящие письма с благодарностью за оформление бизнес-подписки на Microsoft 365.
      Вполне легитимное письмо от Microsoft с сюрпризом
      Атака начинается с настоящего письма от Microsoft, в котором получателя благодарят за покупку подписки Microsoft 365 Apps for Business. Это письмо действительно отправляется с настоящего адреса компании microsoft-noreply@microsoft.com. Почтовый адрес с более надежной репутацией, чем этот, сложно себе представить, поэтому письмо без проблем проходит проверки любых почтовых сервисов.
      Еще раз — само письмо абсолютно настоящее. Его содержание соответствует стандартному уведомлению о совершении покупки. В случае с письмом со скриншота ниже Microsoft благодарит получателя за оформление 55 подписок на бизнес-приложения Microsoft 365 на общую сумму $587,95.
      Пример бизнес-уведомления от Microsoft, в котором злоумышленники вставили свое сообщение в разделе данных для выставления счета (Billing information)
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Ransomware-группировка Interlock начала использовать технику ClickFix для проникновения в инфраструктуру своих жертв. В одном из недавних постов мы уже рассказывали об общей идее ClickFix, а сегодня поговорим о конкретном примере использования этой тактики одной из группировок. Исследователи кибербезопасности обнаружили, что Interlock использует поддельную CAPTCHA якобы от Cloudflare на странице, маскирующейся под сайт Advanced IP Scanner — популярного бесплатного сетевого сканера.
      Исходя из этого можно предположить, что атаки нацелены на ИТ-специалистов, работающих в потенциально интересующих группировку организациях. Судя по всему, Interlock находится на этапе тестирования новых инструментов, в частности техники ClickFix.
      Как Interlock использует ClickFix для распространения вредоносного ПО
      Злоумышленники из Interlock заманивают жертву на страницу, адрес которой имитирует адрес сайта Advanced IP Scanner. Описавшие атаку исследователи нашли одну и ту же страницу, размещенную по нескольким адресам в Сети.
      При переходе по ссылке пользователь видит извещение о необходимости пройти CAPTCHA, якобы от Cloudflare. В сопутствующем тексте мошенники рассказывают жертве о том, что Cloudflare «помогает компаниям восстановить контроль над своими технологиями». За этим достаточно типичным бизнесовым текстом, скопированным со страницы «Что такое Cloudflare?» настоящего веб-сайта компании, следует указание: нажать сочетание [Win] + [R], затем [Ctrl] + [V] и, наконец, [Enter]. После этой инструкции находятся кнопки Fix it (Исправить проблему) и Retry (Повторить попытку).
      Внизу следует объяснение: якобы ресурс, на который пытается войти жертва, должен проверить безопасность соединения.
      На практике, когда жертва нажимает кнопку Fix it, в буфер обмена автоматически копируется вредоносная команда
      PowerShell. После этого пользователь сам открывает консоль с помощью сочетания клавиш [Win] + [R] и сам же вставляет эту команду через [Ctrl] + [V]. После нажатия [Enter] вредоносная команда выполняется.
      В результате выполнения команды на компьютер жертвы загружается 36-мегабайтный файл поддельного установщика PyInstaller,. Для отвлечения внимания жертвы при этом в браузере открывается окно с настоящим сайтом Advanced IP Scanner.
       
      View the full article
×
×
  • Создать...