Перейти к содержанию

Заразился NHEQMINER.EXE


evilinhead

Рекомендуемые сообщения

Купил SSD и со старого HDD переносил все данные на него с помощью программы Рaragon migrate os to ssd (скачал с торрента). Через несколько часов процессор ПК стал грузиться на 100% и в диспетчере задач появился процесс - NHEQMINER.EXE. Удалил его, проверил ПК Kaspersky Internet Securiti и пробной версией Dr.Web Curelt, но проблема осталась, правда процессор стал грузиться не постоянно на 100%, а время от времени, чаще когда открываешь браузер.

CollectionLog-2018.03.27-18.49.zip

Изменено пользователем evilinhead
Ссылка на комментарий
Поделиться на другие сайты

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) Деинсталируйте

SpyHunter 4 [2018/03/27 14:29:27]-->C:\Users\Алексей\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

3) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Users\Алексей\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2017/06/02)
O4 - MSConfig\startupreg: Wargaming.net Game Center [command] = C:\games\Wargaming.net\GameCenter\wgc.exe --background '' (file missing) (HKCU) (2017/09/21)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 -  - (no file)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

 

4) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

2) Деинсталируйте

SpyHunter 4 [2018/03/27 14:29:27]-->C:\Users\Алексей\AppData\Roaming\Enigma Software Group\sh_installer.exe -r sh

3) "Пофиксите" в HijackThis:

O4 - MSConfig\startupreg: GameCenterMailRu [command] = C:\Users\Алексей\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing) (HKCU) (2017/06/02)
O4 - MSConfig\startupreg: Wargaming.net Game Center [command] = C:\games\Wargaming.net\GameCenter\wgc.exe --background '' (file missing) (HKCU) (2017/09/21)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 -  - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 -  - (no file)
O22 - Task: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)

4) Скачайте Malwarebytes' Anti-Malware. Установите.

На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".

На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.

Самостоятельно ничего не удаляйте!!!

Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".

Отчёт прикрепите к сообщению.

 

1) Ссылка - https://virusinfo.info/virusdetector/report.php?md5=BE25520AFB57F99FE6413581970956FC

Scan.txt

Ссылка на комментарий
Поделиться на другие сайты

Не надо заниматься оверковтингом. Внизу есть поле для быстрого ответа.

Никакого майнера у вас не видно. Удалите в MBAM всё найденное.

Что с проблемой?

Ссылка на комментарий
Поделиться на другие сайты

MBAM деинсталируйте

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Мы в блоге Kaspersky Daily постоянно призываем читателей внимательно относиться к контенту, который они загружают на свои устройства. Ведь даже в Google Play могут затесаться приложения с вредоносным ПО, чего уж говорить о неофициальных источниках с модифицированными или взломанными версиями. Сколько существует цифровой мир, столько и будут трояны проникать в устройства, не имеющие надежной защиты.
      Сегодня расскажем историю, как 11 миллионов пользователей Android по всему миру стали жертвами трояна Necro. В каких приложениях мы нашли это вредоносное ПО и как от него защититься — в этом материале.
      Что такое Necro
      Наши постоянные читатели, скорее всего, на этом месте улыбнулись — мы писали про Necro еще в 2019 году. Тогда наши эксперты обнаружили троян в приложении для распознавания текста CamScanner, которое пользователи Android загрузили из Google Play более 100 миллионов раз. И вот какие-то некроманты возродили старый троян, снабдив его новыми возможностями: мы обнаружили его как в популярных приложениях в Google Play, так и в различных модах приложений, размещенных на неофициальных ресурсах. Вероятнее всего, разработчики этих приложений использовали непроверенное решение для интеграции рекламы, через которое Necro и проник в код.
      Necro сегодня — это загрузчик, который обфусцирован, чтобы избежать детектирования (правда, злоумышленникам это не помогло, мы его все равно нашли). Вредоносную нагрузку он скачивает не менее хитрым образом: прячет ее код в безобидной с виду картинке, используя стеганографию.
      А скачанные вредоносные модули умеют загружать и запускать любые DEX-файлы (скомпилированный код Android-приложения), устанавливать скачанные приложения, запускать туннель через устройство жертвы и даже (потенциально) оформлять платные подписки. Кроме того, в невидимых окнах они могут показывать рекламу и взаимодействовать с ней, а также открывать произвольные ссылки и выполнять любой JavaScript-код.
      Подробнее о том, как именно устроен и работает Necro, читайте в блоге Securelist.
       
      View the full article
    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
    • aryanatha
      От aryanatha
      Здравствуйте
      Сервер под управлением Windows Server 2012 R2
      Заходили на него используя RDP
      2 диска зашифровались BitLockerом
      Системный диск Битлокером не зашифровали, но часть файлов на нем были зашифрованы
      В идеале нужно полностью восстановить систему, но в принципе, самый важный файл на всем компьютере один - это база данных 1С.
      Она лежит на незашифрованном диске, и зашифрована отдельно. Размер порядка 10 гб
      в приложении логи анализа и да зашифрованный файла Эксель.
      файл с вирусом не нашли. требований денег не нашли
      возможно заразились после того как дней 5 назад дестоп был с помощью Хамачи подключен в одну локалку с ноутом внука, на котором куча скачанных с тореннnов поломанных игрушек. после этого на декстопе запускался drWebCureIt 
      и после этого с дестопа по RDP ходил на сервер
      прошу помощи
    • Apotka
      От Apotka
      Доброго времени суток, 08.04.24 в 00:45 по МСК (судя по дате создания файла записки вымогателей) *.exe файлы не пострадали, под удар попали различные БД 1С, сервис Забота, аудио видео файлы и MS office

      Корневой файл заражения нам найти не удалось при ручном поиске, KVRT показал наличие 1 угрозы

      В сервисе "крипто шериф" декприптора на наш случай не нашлось,

      Следовал инструкции найденной на одном из порталов 

      Также изучил похожую тему на наш случай на этом форуме
       

      и выполнил сканирование утилитой Farbar Recovery Scan Tool. а также по инструкции по созданию обращения AutoLogger внутри архива report1.log и report2.log
      зашифрованные файлы не содержат конфиденциальных данных, находятся в архиве Encripted с таким же паролем, внутри также записка вымогателя

      Addition.txt Encripted.zip FRST.txt CollectionLog-2024.04.08-15.34.zip
    • Berkut1
      От Berkut1
      Причину не знаю. На комп заходил по виндоусовскому удаленному рабочему столу. Ничего не скачивал и не открывал. Кодировка произошла 14.02.2024г. С вымогателями общался через какой-то защищенный чат utox_x86_64. Переписки не осталось. Сегодня установил Касперский стандарт, который нашел и удалил несколько троянов. Пытался сам расшифровать файлы с помощью бесплатных утилит Касперского. Теперь обращаюсь к Вам. Все файлы открываются так:
      CHTO_S_EBALOM Ransomware!!!
      ATTENTION!
      YOUR PERSONAL DECRYPTION ID - YI3G3AShkaayDiguW29orWlSlpKI8dDXd28JnNVQcH8*CHTO_S_EBALOM
      At the moment, your system is not protected.
      We can fix it and restore your files.
      To get started, send 1-2 small files to decrypt them as proof
      You can trust us after opening them
      2.Do not use free programs to unlock.
      OUR CONTACTS:
      1) TOX messenger (fast and anonymous)
      https://tox.chat/download.html
      Install qtox
      Press sign up
      Create your own name
      Press plus
      Put there our tox ID:
      E9164A982410EFAEBC451C1D5629A2CBB75DBB6BCDBD6D2BA94F4D0A7B0B616F911496E469FB
      And add me/write message
      2)ICQ - @CHTO_S_EBALOM
      3)SKYPE - CHTO_S_EBALOM DECRYPTION
      Addition.txt FRST.txt Файлы.rar
×
×
  • Создать...