Предположительно, майнер с охраной

15 июня, 2018

Обнаружил два процесса в системе. Один из них грузит процессор на 50%, Второй является его охранником - не дает запустить ни avz, ни AdwCleaner, И даже захлопывает броузер при попытке открыть сайт AVZ или Касперского.

Выделяются они тем, что являются 32-битными в 64-битной Win7, и запущены от пользователя, не от системы.

Антивирус Avast и CureIt ничего не обнаружили, сайт virustotal сообщает что файл svchost.exe на 100% чист.

Если убить оба процесса, через несколько часов они стартуют снова. Автозагрузка ничего подозрительного не содержит.

Прилагаю логи AVZ и AswCleaner, снятые при закрытом процессе-охраннике.

AdwCleanerC00.txt

AdwCleanerS00.txt

virusinfo_syscheck.zip

Изменено 15 июня, 2018 пользователем Роман Гусев

15 июня, 2018

Порядок оформления запроса о помощи

16 июня, 2018

Прикладываю логи универсального сборщика

CollectionLog-2018.06.16-01.11.zip

16 июня, 2018

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\oyZBe.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\oyZBe.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{0CF4038D-CB2F-259A-7B5B-807058E5772A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{21FCD1EB-FFD9-335B-43D2-90DC1BC411B4}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F6C12608-3A64-F1B2-9DDE-CBFAAA574A1B}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - (disabled) HKLM\..\Run-: [DelaypluginInstall] = C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1528485029 - C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: {0CF4038D-CB2F-259A-7B5B-807058E5772A} - C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe http://cetttip.net/cl/?guid=gykfts5gpi9ytdbbti22aszhvrnf60zd&prid=1&pid=4_1390_0 (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

17 июня, 2018

спасибо! После перезагрузки вредоносных процессов нет. К сожалению, файл quarantine.zip является пустым zip файлом размером 22 байта.

oyZBe.exe был предварительно проверен на virustotal.com и имеет 0 срабатываний.

17 июня, 2018

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

???

Предположительно, майнер с охраной

Рекомендуемые сообщения

Роман Гусев

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Роман Гусев

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

Роман Гусев

Ссылка на комментарий

Поделиться на другие сайты

mike 1

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum