Перейти к содержанию

Подозрение на скрытый майнер


Рекомендуемые сообщения

По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить?

у вас стоят обе версии

7-Zip 16.04 (x64) [2017/02/10 12:49:23]-->C:\Program Files\7-Zip\Uninstall.exe
7-Zip 9.20 [20120615]-->MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

вот старую и предлагаю удалить. Раз не видите в списке установленных, то попробуйте с командной строки

MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить?

вообще должны быть видны

Java 7 Update 17 [20130306]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 29 [20110315]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}

Но раз не получается, то пробуйте по инструкции https://www.java.com/ru/download/uninstalltool.jsp

 

Unity Web Player - ставил сам, но всё же удалил ради эксперимента.

раз сами, то можно было не удалять. Просто программа часто ставится в составе разных бандлов без ведома пользователя.

 

 

Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю?

значит просто хвосты в реестре и тоже можно зачистить как мусор.

 

 

Заодно посмотрите, а папка

C:\PROGRAM FILES (X86)\NORMCAD\

есть или на неё тоже только хвосты в реестре?

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 47
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

пока просто отключили запуск. Сейчас лог посмотрю и дочистим.     а если перезагрузиться, то всё равно не будет?     либо, давайте по другому посмотрим. Скачайте Farbar Recovery Scan Tool и с

На чистой ОС её не должно быть и такого SID нету в документации https://support.microsoft.com/ru-ru/help/243330/well-known-security-identifiers-in-windows-operating-systems     1) Анлокер не очень к

Да. Удачи .

Пардон за долгое молчание. Стал чистить реестр, а заодно и многое из программ по-удалял. Некоторые программы стали ругаться. Тот же Kaspersky Free начал жаловаться на отсутствие Framework 4.0. Долго возился с восстановлением этим фреймворков - куча версий. Вобщем, почти весь день убил, чтобы восстановить работу программ... 

 

По теме: выполнение операции MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000из командной строки ни к чему ни привело:

2.png
То же было и с выполнением: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
 
Утилита Java Uninstall Tool тоже ничего не удалила - программ Java не было. Помнится, я их уже давно самостоятельно удалял, это просто видимо хвосты в реестре остались. Чистил реестр CCleaner`ом. Там также обнаружилась ветка C:\MB2010\BIN:
image.png
 
Папка C:\PROGRAM FILES (X86)\NORMCAD\ осталась ещё от предыдущего пользователя - это был вроде какой-то сетевой справочник. Раньше пользовались, а сейчас его уже не поддерживают. Папку NormCAD удалил.
 
Также загрузил несколько обновлений. Критических среди них вроде не было. Основная масса предлагаемых к загрузке - это обновления для MS Office.
Изменено пользователем Artem017
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    uidel  MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}
    uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
    uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
    ;---------command-block---------
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {0E2877D3-2641-4970-B794-A553E295428D}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {4853DF44-7D6B-48E9-9258-D800EEE54AF6}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
    delref %SystemDrive%\PROGRA~2\COMMON~1\MI
    delref %SystemDrive%\PROGRAM FILES (X86)\MAXTHON5\BIN\MAXTHON.EXE
    apply
    cexec bitsadmin.exe /RESET /ALLUSERS
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.
  • проверьте, что с проблемой.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

@regist, скрипт выполнил.

На первый взгляд - проблема осталась - открытый Диспетчер задач самостоятельно закрылся примерно через 5 минут и нагрузка на ЦП снова возросла. При повторном открытии Диспетчера нагрузка на ЦП падает. Конечно нужно более длительно понаблюдать, но сейчас уже поздно, так что наверно только в понедельник смогу погонять машину.

 

Дополнение: Ан нет, диспетчер и второй раз закрылся... Правда я не отследил, тот ли самый процесс его закрывает. Но нагрузка при этом  держится в районе 22-30% вместо 50-55% как раньше...

Изменено пользователем Artem017
Ссылка на сообщение
Поделиться на другие сайты

Вот отчёт о проверке вашего подозреваемого: https://www.virustotal.com/ru/file/aa0bf8f9ddf86ba5e995463c41270ab40f41932a9c72fd1d994fcbf1014647ce/analysis/
Пока считается чистым, но практически уверен, что это вирус замаскированный. Так что жду карантина.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81\RB_1.4.12.11.EXE
    dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO

    с паролем virus.
  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

@regist, Доброе утро! Скрипт выполнил, архив ZOO отправил.

 

Интересно имя файла: APSDaemon.exe - с виду безобидное.

 

Дополню "анамнез" - может быть эта информация чем-то поможет: долгое время пользовался обозревателем Maxthon. В последнее время, после обновления обозревателя, начала вылезать "штатная" реклама, мол "Подключайтесь к майнингу и майните на всех устройствах"

82565912.jpg

Стал читать, что за баннер, оказывается, конечно может быть я что-то и путаю, но вроде как сами разработчики встроили майнер непосредственно в сам обозреватель. Данный факт мне стал неприятен, поэтому пришлось вернуться на Оперу. Пишу это к тому, что источником этого скрытого майнера может быть был ранее установленный Макстон?

 

Ещё пункт - после того как я заметил повышенную нагрузку на проц, ещё до обращения на данный форум, я заметил в папке C:\Windows\Temp три файла, в именах которых были IP-адреса и расширение .exe: например 67.67.67.67.exe (именно такой был точно), и ещё пара похожих. То что файлы не мои, я был уверен. Позвонил админам, думал может они чего мутят - нет, говорят, не наши. Поиск в инете показал, что все три адреса американские. Удалить самостоятельно у меня их не получилось, так как доступа к файлам не было. И как вирус они тоже не определялись. Удалось удалить администратору при помощи UnLocker`а.

Изменено пользователем Artem017
Ссылка на сообщение
Поделиться на другие сайты

1) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    adddir dirzooex %SystemRoot%\SYSWOW64\
    crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • 2) "Пофиксите" в HijackThis:
    O22 - Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineGU - C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe
     
    3) Посмотрите, что находится в папке
    C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\
    
    можете например скрином или другим способом показать, какие файлы там есть.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

@regist, Здравствуйте!

Скрипт в uVS выполнил. Также выполнил скрипт в HijackThis. Он правда ругнулся на нехватку памяти (на тот момент было чуть больше 500 Мб), но тем не менее операцию завершил.

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

image.png


Небольшое "резюме" - перед уходом на обед, специально открыл Диспетчер задач, дабы проверить, не закроется ли он самостоятельно. Вышел из системы, прошло где-то 50 минут, вернулся, зашёл - Диспетчер работает, нагрузки на ЦП нет - нагружен на 1-2%, как и прежде.

 

Получается победили?  :cool2:

URAN-289_2018-10-09_11-39-51_v4.0.21.7z

Ссылка на сообщение
Поделиться на другие сайты

Получается победили? :cool2:

пока просто отключили запуск. Сейчас лог посмотрю и дочистим.

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

а если перезагрузиться, то всё равно не будет?

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

либо, давайте по другому посмотрим.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

     

    Start::
    CreateRestorePoint:
    Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

Ещё раз выполните скрипт в FRST на этот раз такой

Start::
CreateRestorePoint:
Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
End::

отчёт снова прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...