Перейти к содержанию

Подозрение на скрытый майнер


Рекомендуемые сообщения

По поводу "7-Zip 9.20" - стоит версия 16.04. Или я не туда смотрю? Всё равно удалить?

у вас стоят обе версии

7-Zip 16.04 (x64) [2017/02/10 12:49:23]-->C:\Program Files\7-Zip\Uninstall.exe
7-Zip 9.20 [20120615]-->MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

вот старую и предлагаю удалить. Раз не видите в списке установленных, то попробуйте с командной строки

MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}

Вышеупомянутых "Java 7 Update 17", "Java™ 6 Update 29" вообще в этом списке нет. Или где-то ручками нужно удалить?

вообще должны быть видны

Java 7 Update 17 [20130306]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
Java(TM) 6 Update 29 [20110315]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}

Но раз не получается, то пробуйте по инструкции https://www.java.com/ru/download/uninstalltool.jsp

 

Unity Web Player - ставил сам, но всё же удалил ради эксперимента.

раз сами, то можно было не удалять. Просто программа часто ставится в составе разных бандлов без ведома пользователя.

 

 

Папку C:\MB2010\BIN вообще в упор не вижу. Может быть снова не туда смотрю?

значит просто хвосты в реестре и тоже можно зачистить как мусор.

 

 

Заодно посмотрите, а папка

C:\PROGRAM FILES (X86)\NORMCAD\

есть или на неё тоже только хвосты в реестре?

Ссылка на комментарий
Поделиться на другие сайты

Пардон за долгое молчание. Стал чистить реестр, а заодно и многое из программ по-удалял. Некоторые программы стали ругаться. Тот же Kaspersky Free начал жаловаться на отсутствие Framework 4.0. Долго возился с восстановлением этим фреймворков - куча версий. Вобщем, почти весь день убил, чтобы восстановить работу программ... 

 

По теме: выполнение операции MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000из командной строки ни к чему ни привело:

2.png
То же было и с выполнением: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
 
Утилита Java Uninstall Tool тоже ничего не удалила - программ Java не было. Помнится, я их уже давно самостоятельно удалял, это просто видимо хвосты в реестре остались. Чистил реестр CCleaner`ом. Там также обнаружилась ветка C:\MB2010\BIN:
image.png
 
Папка C:\PROGRAM FILES (X86)\NORMCAD\ осталась ещё от предыдущего пользователя - это был вроде какой-то сетевой справочник. Раньше пользовались, а сейчас его уже не поддерживают. Папку NormCAD удалил.
 
Также загрузил несколько обновлений. Критических среди них вроде не было. Основная масса предлагаемых к загрузке - это обновления для MS Office.
Изменено пользователем Artem017
Ссылка на комментарий
Поделиться на другие сайты

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    uidel  MsiExec.exe /I{23170F69-40C1-2701-0920-000001000000}
    uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF}
    uidel  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
    ;---------command-block---------
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {0E2877D3-2641-4970-B794-A553E295428D}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {4853DF44-7D6B-48E9-9258-D800EEE54AF6}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
    delref %SystemDrive%\PROGRA~2\COMMON~1\MI
    delref %SystemDrive%\PROGRAM FILES (X86)\MAXTHON5\BIN\MAXTHON.EXE
    apply
    cexec bitsadmin.exe /RESET /ALLUSERS
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может будет перезагружен.
  • проверьте, что с проблемой.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

@regist, скрипт выполнил.

На первый взгляд - проблема осталась - открытый Диспетчер задач самостоятельно закрылся примерно через 5 минут и нагрузка на ЦП снова возросла. При повторном открытии Диспетчера нагрузка на ЦП падает. Конечно нужно более длительно понаблюдать, но сейчас уже поздно, так что наверно только в понедельник смогу погонять машину.

 

Дополнение: Ан нет, диспетчер и второй раз закрылся... Правда я не отследил, тот ли самый процесс его закрывает. Но нагрузка при этом  держится в районе 22-30% вместо 50-55% как раньше...

Изменено пользователем Artem017
Ссылка на комментарий
Поделиться на другие сайты

Вот отчёт о проверке вашего подозреваемого: https://www.virustotal.com/ru/file/aa0bf8f9ddf86ba5e995463c41270ab40f41932a9c72fd1d994fcbf1014647ce/analysis/
Пока считается чистым, но практически уверен, что это вирус замаскированный. Так что жду карантина.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.21 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81\RB_1.4.12.11.EXE
    dirzooex %SystemRoot%\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
    czoo
    restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO

    с паролем virus.
  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

@regist, Доброе утро! Скрипт выполнил, архив ZOO отправил.

 

Интересно имя файла: APSDaemon.exe - с виду безобидное.

 

Дополню "анамнез" - может быть эта информация чем-то поможет: долгое время пользовался обозревателем Maxthon. В последнее время, после обновления обозревателя, начала вылезать "штатная" реклама, мол "Подключайтесь к майнингу и майните на всех устройствах"

82565912.jpg

Стал читать, что за баннер, оказывается, конечно может быть я что-то и путаю, но вроде как сами разработчики встроили майнер непосредственно в сам обозреватель. Данный факт мне стал неприятен, поэтому пришлось вернуться на Оперу. Пишу это к тому, что источником этого скрытого майнера может быть был ранее установленный Макстон?

 

Ещё пункт - после того как я заметил повышенную нагрузку на проц, ещё до обращения на данный форум, я заметил в папке C:\Windows\Temp три файла, в именах которых были IP-адреса и расширение .exe: например 67.67.67.67.exe (именно такой был точно), и ещё пара похожих. То что файлы не мои, я был уверен. Позвонил админам, думал может они чего мутят - нет, говорят, не наши. Поиск в инете показал, что все три адреса американские. Удалить самостоятельно у меня их не получилось, так как доступа к файлам не было. И как вирус они тоже не определялись. Удалось удалить администратору при помощи UnLocker`а.

Изменено пользователем Artem017
Ссылка на комментарий
Поделиться на другие сайты

1) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
     
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    adddir dirzooex %SystemRoot%\SYSWOW64\
    crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • 2) "Пофиксите" в HijackThis:
    O22 - Task: \Microsoft\Windows\Google\GoogleUpdateTaskMachineGU - C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\RB_1.4.12.11.exe
     
    3) Посмотрите, что находится в папке
    C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\
    
    можете например скрином или другим способом показать, какие файлы там есть.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

@regist, Здравствуйте!

Скрипт в uVS выполнил. Также выполнил скрипт в HijackThis. Он правда ругнулся на нехватку памяти (на тот момент было чуть больше 500 Мб), но тем не менее операцию завершил.

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

image.png


Небольшое "резюме" - перед уходом на обед, специально открыл Диспетчер задач, дабы проверить, не закроется ли он самостоятельно. Вышел из системы, прошло где-то 50 минут, вернулся, зашёл - Диспетчер работает, нагрузки на ЦП нет - нагружен на 1-2%, как и прежде.

 

Получается победили?  :cool2:

URAN-289_2018-10-09_11-39-51_v4.0.21.7z

Ссылка на комментарий
Поделиться на другие сайты

Получается победили? :cool2:

пока просто отключили запуск. Сейчас лог посмотрю и дочистим.

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

а если перезагрузиться, то всё равно не будет?

 

 

Доступа к папке C:\Windows\SysWOW64\Microsoft\Protect\S-1-89-81\ по прежнему нет:

либо, давайте по другому посмотрим.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

     

    Start::
    CreateRestorePoint:
    Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST64 от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Изменено пользователем regist
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Ещё раз выполните скрипт в FRST на этот раз такой

Start::
CreateRestorePoint:
Folder: C:\WINDOWS\SYSWOW64\MICROSOFT\PROTECT\S-1-89-81
End::

отчёт снова прикрепите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • searing
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
    • ShadowIce449
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Ilyambuss
      Автор Ilyambuss
      Скачал левак с торрента, после чего в диспетчере задач появились каких-то два процесса "setup", которых раньше не было. Думаю, майнер. После снятия задачи и перезагрузки компьютера они вновь появляются. Проверка касперским удалила каких-то три рекламных объекта.
      CollectionLog-2025.06.15-00.21.zip
    • GlibZabiv
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
×
×
  • Создать...