Перейти к содержанию

Похоже на майнера


Камиль Мусаев

Рекомендуемые сообщения

Добрый день, иногда запускаются сами по себе две командные строки и быстро исчезают, при этом начинает сильно крутится кулер. Стоит КИС, полная проверка показывает что всё чисто. Для спокойствия хотелось бы полностью убедится что это не вирус.

CollectionLog-2018.02.23-13.21.zip

Ссылка на комментарий
Поделиться на другие сайты

1) Удалите остатки Аваст https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

2) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

3) "Пофиксите" в HijackThis:

O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt: Se&nd to OneNote - C:\Program Files\Microsoft Office\Root\Office16\ONBttnIE.dll (file missing)
O20-32 - HKLM\..\Winlogon\Notify: ScCertProp   [DllName] = (no file)
O22 - Task: Nvbackend_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1507739385 - C:\Users\Musaev\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: WpsExternal_20161109044301 - C:\Program Files (x86)\Kingsoft\WPS Office\ksolaunch.exe /wpscloudlaunch /wpsexternal /from=task (file missing)

4)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

5) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


+ Watchdog service - вам знакомо?

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

@Камиль Мусаев, насчёт загруженного карантина

 

Анализ карантина завершен с ошибкой
 Причины ошибки: получен поврежденный архив, ошибка при распаковке
 Для устранения ошибки рекомендуется повторить загрузку карантина

Так что просьба ещё раз провести процедуру. А лог uVS сейчас посмотрю.

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    deltmp
    zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT324D.TMP
    delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCT63A6.TMP
    delref %SystemDrive%\USERS\MUSAEV\APPDATA\LOCAL\TEMP\WCTE6D9.TMP
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {EBA7A1E6-E69D-4BA5-B291-95782A004604}\[CLSID]
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 


про watchdog не слышал.
Может вирус, а может и фолс https://www.virustotal.com/ru/file/7c3b2aa2f18129fe5858df4b7c6478f38e38a7767b2541794265c24b1167fc0b/analysis/1519384033/

Использует библиотеки от CRYPTO PRO, может для него используется. Так что

1) Выполните скрипт и пришлите карантин uVS.

2) Переименуйте пока

C:\WINDOWS\SYSWOW64\G3E1F25BF10.EXE

например в

C:\WINDOWS\SYSWOW64\G3E1F25BF10.bak

3) Проверьте снова проблему.
 

Ссылка на комментарий
Поделиться на другие сайты

@regist

 

готово, если не будет больше сообщений , значит всё ок. А за что отвечает файл в SySWow64? И его вообще надо потом обратно в ехе переименовывать или можно оставить в bak?


@regist

 

Поставил в КИСЕ обнаружение вредоносных программ, обновил базы , запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил. По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть?

post-49020-0-70632300-1519390758_thumb.png

Изменено пользователем Камиль Мусаев
Ссылка на комментарий
Поделиться на другие сайты

 Карантин от вас не дошёл

 

Программа Microsoft Forefront Protection for Exchange Server удалила файл, совпадающий с фильтром.

Заархивируйте этот файл в zip архив с паролем virus закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
 

 

 


запустил быструю проверку и он нашёл такую вот шляпу, после перезагрузки удалил.
это драйвер от AVZ, с учётом что AVZ вы запускали сами и сознательно, то некрично.

 

 


По поводу того файла который я переименовал в bak так его оставить или в exe обратно вернуть?
Пока оставьте так и проверьте повторится проблема или нет. И нормально ли работает КриптоПро.
Ссылка на комментарий
Поделиться на другие сайты

@Камиль Мусаев, скачал карантин с этим файлом. Это всё-таки вирус. Удаляйте этот файл и меняйте все пароли.

 

+ выполните скрипт в uVS

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
bl 1DE584EC7436FB83D7BAD88E1DCC1A3A 25480
zoo %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
delall %SystemRoot%\SYSWOW64\G3E1F25BF10.EXE
apply

czoo
restart

проблема решена?

Ссылка на комментарий
Поделиться на другие сайты

 

 


Помимо этого файла больше вирусов нету?
больше ничего плохого не заметил.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Cybermancubus
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • wolfson
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
    • Слава999
      От Слава999
      Добрый вечер, подцепил майнер джон, все уже перепробовал не могу удалить, программы не даёт скачать, сайты не открывает с антивирусом, сразу закрывает браузер, пишу с телефона, с такой проблемой сталкивался уже год назад, обращался к вам помогли
×
×
  • Создать...