Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Предположительно, майнер с охраной

Роман Гусев

Автор Роман Гусев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Роман Гусев

Роман Гусев

Опубликовано
Опубликовано (изменено)
post-50115-0-36828700-1529093401_thumb.png

 

Обнаружил два процесса в системе. Один из них грузит процессор на 50%, Второй является его охранником - не дает запустить ни avz, ни AdwCleaner, И даже захлопывает броузер при попытке открыть сайт AVZ или Касперского.

Выделяются они тем, что являются 32-битными в 64-битной Win7, и запущены от пользователя, не от системы.

Антивирус Avast и CureIt ничего не обнаружили, сайт virustotal сообщает что файл svchost.exe на 100% чист.

 

Если убить оба процесса, через несколько часов они стартуют снова. Автозагрузка ничего подозрительного не содержит.

 

Прилагаю логи AVZ и AswCleaner, снятые при закрытом процессе-охраннике.

AdwCleanerC00.txt

AdwCleanerS00.txt

virusinfo_syscheck.zip

post-50115-0-36828700-1529093401_thumb.png

Изменено пользователем Роман Гусев
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\oyZBe.exe', '');
 DeleteFile('C:\Program Files (x86)\Common Files\oyZBe.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{0CF4038D-CB2F-259A-7B5B-807058E5772A}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{21FCD1EB-FFD9-335B-43D2-90DC1BC411B4}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{F6C12608-3A64-F1B2-9DDE-CBFAAA574A1B}" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4-32 - (disabled) HKLM\..\Run-: [DelaypluginInstall] = C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe (file missing)
O4-32 - (disabled) HKLM\..\Run-: [Wondershare Helper Compact.exe] = C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (file missing)
O22 - Task: Opera scheduled Autoupdate 1528485029 - C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)
O22 - Task: {0CF4038D-CB2F-259A-7B5B-807058E5772A} - C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe http://cetttip.net/cl/?guid=gykfts5gpi9ytdbbti22aszhvrnf60zd&prid=1&pid=4_1390_0 (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Ссылка на комментарий
Поделиться на другие сайты
Роман Гусев

Роман Гусев

Опубликовано
  • Автор
Опубликовано

спасибо! После перезагрузки вредоносных процессов нет. К сожалению, файл quarantine.zip является пустым zip файлом размером 22 байта.

oyZBe.exe был предварительно проверен на virustotal.com и имеет 0 срабатываний.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DanilDanil
      Поймал на VM шифровальщик. Предположительно Mimic (N3ww4v3)
      Автор DanilDanil
      Словил на VM шифровальщик. GPT в deepsearch предположил, что это mimic ( N3ww4v3) - на основе проанализированных зашифрованных файлов и оставленной злоумышленниками записке. Зашифрованны базы данных. Бэкапов не было...
      Есть ли возможность дешифровать? Вот это оставили злоумышленники. Зашифрованный файл прикрепить не могу, форум ограничивает.
      Important_Notice.txt
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Nibug
      Предположительно Lockbit зашифровал файлы
      Автор Nibug
      KxJiaPR.rar10 Мая неизвестными путями проник шифровальщик и заблочил большое количество файлов. Утилиты касперского не могут определить тип шифра и тем более расшифровать файлы 1.txt
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
×
×
  • Создать...