Перейти к содержанию

На компьютере завёлся майнер


Рекомендуемые сообщения

Приветствую Вас!

 

На моём компьютере завёлся вирус-майнер, видимо, после установки каких-то очередных игр.

 

Логи прилагаю и заранее благодарю за помощь.

CollectionLog-2019.02.26-21.25.zip

Ссылка на сообщение
Поделиться на другие сайты

1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

3) "Пофиксите" в HijackThis:

O4 - HKU\S-1-5-19\..\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O4 - HKU\S-1-5-20\..\Run: [OneDriveSetup] = C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (file missing)
O22 - Task: (disabled) AdobeAAMUpdater-1.0-DESKTOP-O25BJ1C-Bogdan - C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe -mode=scheduled (file missing)
O23 - Service S2: InterBase Guardian - (InterBaseGuardian) - C:\Program Files (x86)\Borland\InterBase\bin\ibguard.exe Files (x86)\Borland\InterBase\bin\ibguard.exe (file missing)
O23 - Service S2: QMEmulatorService - C:\games\TxGameAssistant\AppMarket\QMEmulatorService.exe  (file missing)
O23 - Service S3: InterBase Server - (InterBaseServer) - C:\Program Files (x86)\Borland\InterBase\bin\ibserver.exe Files (x86)\Borland\InterBase\bin\ibserver.exe (file missing)

 

4) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .




 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения за столь долгий ответ, но мне только сегодня удалось получить доступ к проблемному компьютеру. Все пункты успешно выполнил:

 

1) Ссылка на отчёт утилиты AVZ;

 

 

2) Отчёт утилиты ClearLNK: ClearLNK-LOG.rar

 

 

4) Отчёт утилиты uVS: DESKTOP-O25BJ1C_2019-03-02_13-43-43_v4.1.2.7z

 

 

Ссылка на сообщение
Поделиться на другие сайты

Установил крайние обновления для Windows 10 [1607] от 19.02.2019, и проблема, вроде, ушла... компьютер стал шустро работать. :cool2:

 

Благодарю за оказанную помощь :rolleyes:

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Скрипт успешно выполнил. Была найдена одна единственная уязвимость UAC (контроль учётных записей) отключён. Но я его специально отключил, чтобы не мешал и не тормозил работу запуска приложений... Так что благодарю, тему можно закрывать.

Ссылка на сообщение
Поделиться на другие сайты

чтобы не мешал и не тормозил работу запуска приложений

В том числе и вредоносных приложений, верно? :)
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От VEE
      Здравствуйте.
      Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.
      Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек
      Помогите пожалуйста.
       
       
    • От Fadei
      Не могу удалить майнер 
      first_log.txt
    • От NAVARO
      Привет Ребята!
       
      У меня тоже появился VmWare - который запускается в месте с Windows - Нагружает Процессор - Повышает Обороты кулеров и т.д
      Удаляю Папку VmWare из ProgramData  - после перезагрузки он снова появляется и запускается..

      Сканировал - разными антивирусами нечего не помогло (wind defender / drweb / avz / mylwarebyte )
       
      Отклюаю Кабель Интернета - Все утихает 

      Снимаю Задачу в Диспетчере - Все утихает
       
      С Нетерпеньем Жду Ваших Указаний :)
       
    • От Nerff
      Добрый день.
      На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:
        C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ C:\Users\admin\Start Menu\Programs\Startup\ C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

      в каждой из этих папок образуется файл vid001.exe
      kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
      В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.
    • От BlitGaming
      Короче. Живу, живу, и вдруг у меня ноутбук начинает ОЧЕНЬ сильно греться. Думаю термопаста высохла. Потом открываю speedfan. (Прога я ей пользуюсь) и вижу нагрузку процессора 100%.
      Захожу в ParkControl вижу все 8 потоков заняты под 100%. И тут я понимаю что что-то здесь не чисто. Открываю диспетчер задач и на секунду вижу имя процесса Dll... и нагрузку 100%. Потом через 2 секунды в SpeedFan я вижу нагрузку 1-2 %. Гуглю название. И вижу! DllHosteX.exe - Вирус майнер! Вообщем нужна помощь по удалению. Если понадобятся логи UVS то могу предоставить. (Эти программы я уже скачал.)

      P.S После этого перестал появляться процесс DllHosteX.exe. Начали появляться процессы со странными названиями примерно 2-3. Типа HskwkLmckqskd в папке Temp. Они также нагружают процессор. Пробовал удалить. Пишет: Отказано в доступе.
×
×
  • Создать...