Xmrig использует все ресурсы

[iceberg31]

Процесс Xmrig использует все ресурсы, через некоторое время после удаления процесса и удаления всей папки с данным файлом, он чудесным образом появляется снова. Прошу помощи специалистов

CollectionLog-2017.10.24-16.02.zip

[Sandor]

@iceberg31, эту тему тоже бросите на пол пути?

 

По правилам до запуска Autologger-а, следует пройтись одной из лечащих утилит. Вы это проделали?

[iceberg31]

Прошёлся двумя программами, вирусов не обнаружил

[Sandor]

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\programdata\svhost\eternalblue-2.2.0.exe');
 TerminateProcessByName('c:\windows\hashstrem\client.exe');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 TerminateProcessByName('c:\windows\min\local.exe');
 StopService('AdobeFlashPlayerHash');
 QuarantineFile('C:\ProgramData\Rundll\start.vbs', '');
 QuarantineFile('c:\programdata\svhost\eternalblue-2.2.0.exe', '');
 QuarantineFile('c:\windows\hashstrem\client.exe', '');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '');
 QuarantineFile('c:\windows\min\local.exe', '');
 DeleteFile('C:\ProgramData\Rundll\start.vbs', '32');
 DeleteFile('c:\programdata\svhost\eternalblue-2.2.0.exe', '32');
 DeleteFile('c:\windows\hashstrem\client.exe', '32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe', '32');
 DeleteFile('c:\windows\min\local.exe', '32');
 DeleteService('AdobeFlashPlayerHash');
 DeleteService('spoolsrvrs');
 DeleteService('wcvvses');
 DeleteService('werlsfks');
 DeleteService('wscsvs');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[iceberg31]

Вирус [KLAN-7031334846]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
start.vbs
mms.exe

В следующих файлах обнаружен вредоносный код:
eternalblue-2.2.0.exe - Exploit.Win32.ShadowBrokers.ae
client.exe - Trojan.Win32.Blouiroet.o

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

CollectionLog-2017.10.24-16.54.zip

Изменено 24 октября, 2017 пользователем iceberg31

[Sandor]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[iceberg31]

Не забудьте ещё висит вирус securesurf.browser.client.exe

SRVOTEL_2017-10-24_17-01-59.7z

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SYSTEM\GECKO\SECURESURF.BROWSER.CLIENT.EXE
   bl 8679B7B0A203510F221A3F9907EA8FC4 14848
   addsgn 1AC0739A55834C720BD4C4A50C5028452562D6F089FA2C8E0CB6213525368E595B27835731E245C05E7CE03E5E1649FAF68FECF9AB64787F6D772FE5F4C6D27C 8 Win32/Webisida.F [ESET-NOD32] 7
   
   zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\TASKHOSTEX.EXE
   bl 9281F6DFCDFA7B64A5628CD15CEE31AE 685568
   addsgn 1A0E299A5583C58CF42B254E3143FE54A6EF00F6DA7142680018B0BB631698D62317C301BDAE993B5E0DF763C3E03D94F692E4F910D23A3CAEB7A0AC0602A6A1 8 Trojan.Starter.7365 [DrWeb] 7
   
   zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\LAUNCHER.EXE
   bl 72490564C3F6DE5B7A6437D26D523846 2134056
   addsgn A7679B19919AF4922E8FAE59E43DF6FA84266DAA89711F9011223043F17AE010239CC3E53FBD3BB7DE7F359EFCB6F0A17D7E0CA619DA58AD19855BA4CA6EB12F 8 Tool.Click.38 [DrWeb] 7
   
   zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASPWING.EXE
   bl 7C4815F4AA24D8D27E90A4D75849D0DD 1807400
   addsgn A7679B234D6A4C7261D4C4B12DBDEB549DD6E0A589122D6E683CF67C05BE34E67017A7A80E311469998125FFCC4549128D6A048DF6BE2C792DCFCCB39206A966 8 Tool.Click.38 [DrWeb] 7
   
   zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.56385\1049\5.0\WASP.EXE
   bl E93ECC5D23CA7DBEC00712B735D6821B 6184480
   addsgn A7679B1991A27FB282917E3821049B40ED03B92E00BFCBF1C01F7DA0D74671A477F96DA80D95C8217964159F22E9799EF4FF0027E01A4FC4D55A0BD02F819CB3 8 Tool.Click.38 [DrWeb] 7
   
   chklst
   delvir
   
   dirzooex %SystemRoot%\INF\NETLIBRARIESTIP
   deldir %SystemRoot%\INF\NETLIBRARIESTIP
   deldir %SystemRoot%\INF\AXPERFLIB
   dirzooex %SystemDrive%\PROGRAMDATA\SVHOST
   zoo %SystemRoot%\SYSWOW64\LSM.EXE
   delall %SystemRoot%\SYSWOW64\LSM.EXE
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\COLI-0.DLL
   bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360
   addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers 7
   
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRCH-1.DLL
   bl 838CEB02081AC27DE43DA56BEC20FC76 59904
   addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
   
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\EXMA-1.DLL
   bl BA629216DB6CF7C0C720054B0C9A13F3 10240
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\UCL.DLL
   bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368
   addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers. [Kaspersky] 7
   
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\XDVL-0.DLL
   bl 5B72CCFA122E403919A613785779AF49 32256
   addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B4FBCB3E4514441F1C848FCF0379667DCF616F7946B03CA4428CB3C716AB4E 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
   
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\X86.DLL
   bl 962F43CC8D23794E1E61A1A0C72F39FA 83456
   addsgn A7679B1928664D070E3C96B064C8ED70357589FA768F17903B3D3A43D3127D11E11BC302B5B9F749D495947F4606B68F7520FD7EB5DAA0442473A4EF38133693 64 Trojan.Win32.Blouiroet. [Kaspersky] 7
   
   bl A539D27F33EF16E52430D3D2E92E9D5C 100864
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\CNLI-1.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\CNLI-1.DLL
   bl F82FA69BFE0522163EB0CF8365497DA2 17408
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\CRLI-0.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\CRLI-0.DLL
   bl C24315B0585B852110977DACAFE6C8C1 45568
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\DOUBLEPULSAR-1.3.1.EXE
   delall %SystemDrive%\PROGRAMDATA\SVHOST\DOUBLEPULSAR-1.3.1.EXE
   bl F01F09FE90D0F810C44DCE4E94785227 903168
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\LIBEAY32.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\LIBEAY32.DLL
   bl 9A5CEC05E9C158CBC51CDC972693363D 826368
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\LIBXML2.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\LIBXML2.DLL
   bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\POSH-0.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\POSH-0.DLL
   bl 5E8ECDC3E70E2ECB0893CBDA2C18906F 184320
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\SSLEAY32.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\SSLEAY32.DLL
   bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\TIBE-2.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\TIBE-2.DLL
   bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\TRFO-2.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\TRFO-2.DLL
   bl 83076104AE977D850D1E015704E5730A 9216
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\TUCL-1.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\TUCL-1.DLL
   bl DB2BF49BA0F14E42E315D6B95B38981B 99840
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\X64.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\X64.DLL
   bl E4AD4DF4E41240587B4FE8BBCB32DB15 60416
   zoo %SystemDrive%\PROGRAMDATA\SVHOST\ZLIB1.DLL
   delall %SystemDrive%\PROGRAMDATA\SVHOST\ZLIB1.DLL
   deldir %SystemDrive%\PROGRAMDATA\SVHOST
   zoo %SystemDrive%\PROGRAMDATA\RUNDLL\TRCH.DLL
   bl 01D5ADBFEE39C5807EE46F7990F5FDA7 49664
   addsgn 98E01F4AF06A5C9A4ED5AEB15708528C606ECF090087E3F3F0CFFE4B25DA487173C7C34731D131492B80BF6F3213CA047FAAD9D3350AB03C16B0D02338733225 64 Trojan.Win32.ShadowBrokers. [Kaspersky] 7
   
   dirzooex %SystemDrive%\PROGRAMDATA\RUNDLL
   deldir %SystemDrive%\PROGRAMDATA\RUNDLL
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
   

 

сделайте свежий лог uVS.

[iceberg31]

Свежий лог

SRVOTEL_2017-10-24_17-48-28.7z

[regist]

 

 

Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine safezone.cc (замените на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

где?

[iceberg31]

Письмо не отправляется через https://mail.yandex.ru. пишет: отправить невозможно, т.к. содержит вирус. размер файла 12,3 Mb

[Sandor]

Упаковывали с паролем?