Artem017 0 Опубликовано 3 октября, 2018 Share Опубликовано 3 октября, 2018 Всем доброго дня, уважаемые форумчане! Дабы не плодить новую тему, напишу здесь, ибо есть подозрение на скрытый майнер на моём ПК. Итак, компьютер рабочий, офисный, подключен к доменной сети. ОС Windows 7 Pro SP1. Первое подозрение - в простое процессор нагружается на 50-55% (показывает гаджет, отображающий нагрузку на каждое ядро ЦП) - раньше этого не было. Подозрение второе - при вызове Диспетчера задач (а также аналогичных ему, типа Process Explorer, AnVir) нагрузка моментально спадает и процесс не отследить. При последующем простое минут 10-15 и при открытом Диспетчере Задач (и ему подобных), данные приложения автоматически закрываются (чего быть не должно) и нагрузка на ЦП снова возрастает. Путём выжидания, всё же удалось засечь процесс, запускаемый автоматически перед закрытием всех этих приложений - некий RB_1.4.12.11.exe. Вот скриншоты: При этом лишь AnVir показал путь к этому файлу: C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe. Доступа к папке \S-1-89-81\ нет. Проверка Kaspersky Free, Kaspersky Virus Removal Tool, а также dr. Web CureIt никаких результатов не принесли. Как быть? Прошу помощи. Дополню: на первом скриншоте в стандартном Диспетчере Задач одновременно с появлением процесса RB_1.4.12.11.exe, также запустился процесс TiWorker.exe. Возможно, что между ними есть какая-то связь. Читал в интернете, что этот файл вроде как отвечает за установку обновлений, но обновления на компьютере отключены и в данный момент никаких обновлений не производилось. Сообщение от модератора Mark D. Pearlstone Перемещено из темы Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 3 октября, 2018 Share Опубликовано 3 октября, 2018 Порядок оформления запроса о помощи Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 4 октября, 2018 Автор Share Опубликовано 4 октября, 2018 Вот, проверил AVZ CollectionLog-2018.10.04-08.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\sheglova\AppData\Roaming\Dorrible\Ribble\d.exe', ''); DeleteFile('C:\Users\sheglova\AppData\Roaming\Dorrible\Ribble\d.exe', '64'); DeleteSchedulerTask('Ribble'); DeleteSchedulerTask('{61E77627-11C0-4AC0-93EB-B6A30BA5A38D}'); DeleteSchedulerTask('{C2344B98-72F6-498B-A1D6-460A8B751DC7}'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 4 октября, 2018 Автор Share Опубликовано 4 октября, 2018 Добрый день. Скрипт выполнен. Файл quarantine.zip из папки AVZ отправлен: KLAN-8856868656 CollectionLog-2018.10.04-15.59.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 Полученный ответ сообщите здесь (с указанием номера KLAN). а вы только номер KLAN указали. Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 4 октября, 2018 Автор Share Опубликовано 4 октября, 2018 Упс, извиняюсь, поторопился . Ответ таков: Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: quarantine.zip Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 Из предыдущего вашего поста не даёт скачать логи. Можете прикрепить их ещё раз? Цитата Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 @regist, исправил. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 @Artem017, что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 4 октября, 2018 Автор Share Опубликовано 4 октября, 2018 (изменено) @Sandor, Всё тоже самое - в простое процессор грузится на 50-55%. Изменено 4 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 4 октября, 2018 Автор Share Опубликовано 4 октября, 2018 (изменено) @regist, пардон, я видимо снова поторопился с выводами: после перезагрузки компьютера и запуска стандартного Диспетчера задач, процесс RB_1.4.12.11.exe стал в нём виден сразу же. Причём при нажатии в контекстном меню строчки "Открыть место хранения файла", ничего не происходит, так "адрес" пуст. Сейчас запустил полную проверку Kaspersky Free. При этом Диспетчер снова сам закрылся, но и папки C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe уже нет. Видимо она уже удалена в результате предыдущих действий? Дополнение: полная проверка Kaspersky Free снова ничего не дала. Мало того, после перезагрузки ситуация повторилась: открытый Диспетчер Задач самостоятельно закрылся, а перед закрытием снова появились процессы RB_1.4.12.11.exe и TiWorker.exe. Нагрузка на ЦП снова возросла. Выполнил операции из вашего предыдущего поста: После проверки AutorunsVTchecker нагрузки на ЦП нет - в простое показывает нагрузку 1-6%. URAN-289_2018-10-04_19-22-28_v4.0.21.7z Изменено 4 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 октября, 2018 Share Опубликовано 4 октября, 2018 C:\WINDOWS\DWRCS\DWRCST.EXE not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen - это ваше? 7-Zip 9.20, Java 7 Update 17, Java 6 Update 29 - это устаревшие версии. Деинсталируйте их. Unity Web Player - если сами не ставили, то тоже. + 1) в этой папке, что у вас? C:\MB2010\BINВ реестре есть обращения на файлы в этой папке, но при этом ни одного файла прописанного в реестре в ней не вижу. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.0.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\VIBER\VIBER.EXE delref %SystemDrive%\USERS\BUKIN\APPDATA\LOCAL\VIBER\VIBER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\7-ZIP\7-ZIP.DLL zoo %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\X64\MCOUAS.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 6.0 FOR WINDOWS WORKSTATIONS MP4\X64\MCOUAS.DLL delref HTTP://WWW.MAIL.RU/CNT/8305 delref {A8B34163-8D4D-4120-ABD9-32A919CBE032}\[CLSID] delref {A662DA7E-CCB7-4743-B71A-D817F6D575DF}\[CLSID] delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID] delref {69BD6A6D-F788-4A34-BAE9-76AB5F69EF9D}\[CLSID] delref {6BF14DD2-03C5-4D37-88A2-0BD890D3F522}\[CLSID] delref {70937038-46EA-4516-B5E8-4F20897AA60A}\[CLSID] delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID] delref {9E475432-4903-435E-A867-8DD97069E9D9}\[CLSID] delref {AE653072-1A0E-470D-B48E-ACDA378DE655}\[CLSID] delref {BBC9E769-CBDC-4738-B967-8BB4A0554611}\[CLSID] delref {C62A4A3E-9FE3-43E3-AC7C-EB73C65EEE00}\[CLSID] delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID] delref {D9806E4E-82CE-4A75-83D0-A062EC605349}\[CLSID] delref {2EBF0673-8DC5-49F3-9251-5C72A4DD1A34}\[CLSID] delref {3F34437D-AFAC-4E17-B02C-D771E82441E0}\[CLSID] delref {2C58173F-BD58-4758-B78B-9E1D698937EF}\[CLSID] delref {2B7DE2B4-D0FE-45B7-AE3C-8FBC631AFF7B}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {1A69C109-5E65-4AD7-80BB-026EBB8C0972}\[CLSID] delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID] delref {42DA4263-6D54-4540-B3EC-6F7DD02AB426}\[CLSID] delref {715941D4-1AC2-4545-8185-BC40E053B551}\[CLSID] delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID] delref {75E513A9-6C41-4C91-BAA6-81E593FAAC10}\[CLSID] delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID] delref {90BB2000-1BA4-4D88-45BC-5734E453A8EF}\[CLSID] delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID] delref {539E5890-0191-441C-997B-2D112808ACEC}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {E55DC989-FEE1-4A91-B539-5ED6B44F374A}\[CLSID] delref {F30B44B4-3E4A-4EF2-B763-880FE746929F}\[CLSID] delref {F26E13C5-F48E-48BF-9219-83DCE50D99FC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {985F3CF7-D62F-46B2-8C48-5DF939FDA479}\[CLSID] delref {FB5C8867-34C9-43B3-9A03-4A8C37F59B24}\[CLSID] delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID] apply ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_121\BIN\WSDETECT.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE6\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_121\BIN\WSDETECT.DLL delref D:\DOWNLOADS\COLORNETWORKSCANGEAR-V271_WIN_UK_EN\DRIVER\SETUP.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX delref %SystemDrive%\USERS\FILIPPOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX delref %SystemDrive%\USERS\BUKIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX delref %SystemDrive%\USERS\SAVELJEV\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref %SystemDrive%\PROGRA~2\COMMON~1\MI delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\PHONE\SKYPE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ANVIR TASK MANAGER\ANVIRLAUNCHER.EXE delref %SystemDrive%\USERS\DROZDOV\APPDATA\LOCAL\TEMP\HYD5B4A.TMP.1486744121\HTA\3RDPARTY\FS.OCX zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\KWTP.DLL delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\KWTP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE delref D:\LAUNCH.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\EPU-4 ENGINE\FOURENGINE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\VTUNE\TBPANEL.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3) Проверьте в Центре обновления Windows - все обновления установлены? Нет ожидающих установки? Цитата Ссылка на сообщение Поделиться на другие сайты
Artem017 0 Опубликовано 5 октября, 2018 Автор Share Опубликовано 5 октября, 2018 (изменено) not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen - это ваше? Наше - дабы админам не бегать по кабинетам, некоторые вопросы решают удалённо. DameWare устанавливался осознанно. 7-Zip 9.20, Java 7 Update 17, Java™ 6 Update 29 - это устаревшие версии. Деинсталируйте их. По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить? Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить? Unity Web Player - ставил сам, но всё же удалил ради эксперимента. Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю? Проверьте в Центре обновления Windows - все обновления установлены? Нет ожидающих установки? Обновления на данном компьютере отключены админами. Причину не знаю. Самостоятельно не включаю - ввиду малого объёма SSD диска, дабы места в обрез. В принципе включить могу, так как права есть, но может быть установить только критические обновления? Изменено 5 октября, 2018 пользователем Artem017 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.