Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 (изменено) Доброго! Компьютер поймал майнер, как я понимаю, никак не могу найти способ его убить. Помогите пожалуйста. LOG.rar CollectionLog-2019.02.26-14.02.zip Изменено 26 февраля, 2019 пользователем Павел Чередниченко Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Unity Web Player Кнопка "Яндекс" на панели задач Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', ''); DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64'); DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOC001.exe', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\RunOnce', 'Application Restart #6', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Скрипт не отрабатывает, AVZ ругается на него. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 1. Не цитируйте, пожалуйста, все предыдущее сообщение. Используйте форму быстрого ответа внизу. 2. AVZ следует запускать из папки Автологера, т.е. эту: C:\1\AutoLogger-test (1)\AutoLogger\AVZ\avz.exe Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 @Sandor, Файл карантина отправил, логи по новой собрал. Ответа пока на почту не было. CollectionLog-2019.02.26-15.23.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 @Sandor, результат работы UVS TORGI_2019-02-26_16-48-40_v4.1.2.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\TEMPO\DOC001.EXE bl C720AC483A5752C2B69945A8AD673162 1109494 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BC338206CA82 60 Worm.NSIS.BitMin.d [Kaspersky] 7 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\TORGI\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMIN\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\ADMINISTRATOR\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\TORGI\START MENU\PROGRAMS\STARTUP\DOC001.EXE zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\DOC001.EXE chklst delvir ;---------command-block--------- delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.0.3_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDELDJOLAMFBCGNNDJMJJIINNHBNBNLA\1.2.9.0_0\ПОИСК И СТАРТОВАЯ – ЯНДЕКС delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GGFFMGAELFGIHLBPICEAICKAJBJBHIGE\8.24.0_0\ПОИСК ЯНДЕКСA delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\SCAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref \\!S!\%J\DOC001.EXE zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE apply deltmp regt 27 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Соберите и прикрепите новый лог uVS. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 Павел Чередниченко Готово, файл отправлен Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Соберите и прикрепите новый лог uVSЖдём. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 @Sandor, свежий лог TORGI_2019-02-26_18-17-52_v4.1.2.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 254 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Систему обновляете? Давайте проверим: Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 26 февраля, 2019 Автор Share Опубликовано 26 февраля, 2019 @Sandor, SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 26 февраля, 2019 Share Опубликовано 26 февраля, 2019 Контроль учётных записей пользователя отключен (Уровень 1)^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^WinRAR 4.20 (64-разрядная) v.4.20.0 Внимание! Скачать обновления7-Zip 9.32 v.9.32.00.0 Внимание! Скачать обновления^Удалите старую версию, скачайте и установите новую.^Yandex v.19.1.1.909 Внимание! Скачать обновленияMozilla Firefox 51.0.1 (x86 ru) v.51.0.1 Внимание! Скачать обновления^Проверьте обновления через меню Справка - О Firefox!^Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.Элементы Яндекса 8.9 для Internet Explorer v.8.9.1.5100 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Ссылка на сообщение Поделиться на другие сайты
Павел Чередниченко 0 Опубликовано 27 февраля, 2019 Автор Share Опубликовано 27 февраля, 2019 @regist, Эти действия безусловно будут полезны, но никак не приведут к решению моего вопроса. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения