Перейти к содержанию
Правила раздела

Предположительно, майнер с охраной

Роман Гусев

От Роман Гусев
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Роман Гусев Новичок

Роман Гусев

Опубликовано
Опубликовано (изменено)
post-50115-0-36828700-1529093401_thumb.png

 

Обнаружил два процесса в системе. Один из них грузит процессор на 50%, Второй является его охранником - не дает запустить ни avz, ни AdwCleaner, И даже захлопывает броузер при попытке открыть сайт AVZ или Касперского.

Выделяются они тем, что являются 32-битными в 64-битной Win7, и запущены от пользователя, не от системы.

Антивирус Avast и CureIt ничего не обнаружили, сайт virustotal сообщает что файл svchost.exe на 100% чист.

 

Если убить оба процесса, через несколько часов они стартуют снова. Автозагрузка ничего подозрительного не содержит.

 

Прилагаю логи AVZ и AswCleaner, снятые при закрытом процессе-охраннике.

AdwCleanerC00.txt

AdwCleanerS00.txt

virusinfo_syscheck.zip

post-50115-0-36828700-1529093401_thumb.png

Изменено пользователем Роман Гусев
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\oyZBe.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\oyZBe.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{0CF4038D-CB2F-259A-7B5B-807058E5772A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{21FCD1EB-FFD9-335B-43D2-90DC1BC411B4}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F6C12608-3A64-F1B2-9DDE-CBFAAA574A1B}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - (disabled) HKLM\..\Run-: [DelaypluginInstall] = C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1528485029 - C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: {0CF4038D-CB2F-259A-7B5B-807058E5772A} - C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe http://cetttip.net/cl/?guid=gykfts5gpi9ytdbbti22aszhvrnf60zd&prid=1&pid=4_1390_0 (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Роман Гусев Новичок

Роман Гусев

Опубликовано
  • Автор
Опубликовано

спасибо! После перезагрузки вредоносных процессов нет. К сожалению, файл quarantine.zip является пустым zip файлом размером 22 байта.

oyZBe.exe был предварительно проверен на virustotal.com и имеет 0 срабатываний.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • kiperenok
      [РЕШЕНО] Майнер
      От kiperenok
      Добрый вечер ! Та же проблема. Выполнил первые 2 пункта со скриптами а AVZ. Вот файл карантина 2024.12.22_Quarantine_27237554ca4507fb7f620afc014cd433.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • ShadowIce449
      Майнер на ноутбуке
      От ShadowIce449
      ноут греется как бешанный хоть фильм смотришь,фпс низкий, Цп под 100%, понял что майнер на, не давал открывать avbr и т.д говорил не прав, поэтому пришлось переменовать. использовал avbr случайно удалил log, пиh его удалисалось что был пользователь Jonh. Запустил второй раз и прикрепил log другой уже. 
      CollectionLog-2025.01.11-14.02.zip
      AV_block_remove_2025.01.11-14.13.log
    • Tarhunchik
      Зашифрованы файлы шифровальщиком, предположительно Lockbit 3.0 Ransom
      От Tarhunchik
      Здравствуйте. В процессе работы, через RDP, зависла сессия, после чего сервер был перезагружен. После загрузки получили сообщение, что файлы зашифрованы. Зашифрованными оказались файлы 1С баз, файловые и sql, их копии, 1С обработки, doc, xls и многие другие форматы. Причём, форматы pdf, docx, xlsx, почти не были зашифрованы - как - то, очень, выборочно! Также, были убиты службы sql, сервер 1С и ещё, с дюжину других, отвечающих за теневое копирование, логирование, бэкапы. После этого, система была просканирована, свежими KVRT, Cureit, avz и перезагружена. Затем была выполнена команда sfc /scannow, которая показала, что все файлы, на 100% в порядке.
      Addition.txt FRST.txt Зашифрованные.7z
    • November 11
      [РЕШЕНО] Майнер
      От November 11
      Я не знаю от куда появился майнер. Пк был не у меня какое-то время
      Но это точно что-то из этого так как начался сильный нагрев, а также сайты с антивирусом закрывает
      Доступа к сайту нет
      4.zip
    • jiil
      Вирус или Майнер
      От jiil
      Обнаружил на пк вирус или майнер, подозрения начались после общего замедления работы системы, забитый под 100% ЦП, после попыток использовать антивирус, он не запускался, при попытке скачать новый антивирус браузер вылетает, после попыток зайти в проводник в скрытые папки (Program Data) проводник тоже вылетает, смог воспользоваться AVbr с изменение имени исполняемого файла получил следующий лог
       

×
×
  • Создать...