Перейти к содержанию

Подозрительный dll (CPU-майнер?)


Георгий Богданов

Рекомендуемые сообщения

Георгий Богданов

Запускается через rundll32 и нагружает n-1 ядра процессора.

При включении диспетчера задач перестает нагружать, и как только диспетчер закроется продолжает - в то же время логики для других схожих программ не предусмотренно.

Шлет в сеть менее килобайта данных.

Внутри DLL несколько джипегов и текстовых записей никак по смыслу не обьединенных, выглядит как рандом выгрепанный из ютуба (мб такой способ рандомизировать бинари?).

На вирустотале почти ничего: https://www.virustotal.com/ru/file/be6b147b5f297a22ab3796bdada7061fe464b8801dd75511a98ccb83fb0f105f/analysis/1552033157/

Зашифрованных данных не замечено, счетчик байт записи у соответствующего процесса rundll32 нулевой.

 

c330w80p.7z

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 QuarantineFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','');
 QuarantineFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','');
 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','');
 QuarantineFile('C:\Windows\System32\wsaudio.dll','');
 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');
 DeleteFile('C:\Windows\System32\ihctrl32.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll','x64');
 DeleteFile('C:\Windows\System32\wsaudio.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll','x64');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x64');
 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','64');
 DeleteFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','64');
 DeleteSchedulerTask('31D3DFAx3D');
 DeleteFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','64');
 DeleteSchedulerTask('CorelUpdateHelperTaskCore');
 DeleteSchedulerTask('Microsoft\extsetup');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','64');
 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');
 DeleteSchedulerTask('Microsoft\SafeBrowser');
 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\A278D2BF5-530C-43FB-931B-D8927DB609BC');
 DeleteSchedulerTask('Microsoft\Windows\extsetup');
 DeleteSchedulerTask('Microsoft\Windows\SafeBrowser');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки автологгера).

 



O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Sergiyssv
      Автор Sergiyssv
      Сильно греется в тихом режиме в простое но если я наблюдаю за температурой пока работаю то всё нормлаьно, а остави ноутбук на пару без открытых программ вижу перегревы по ядрам.
      И это не только в тихом режиме, пришлось в ручную уменьшать макс нагрузку на ЦПУ и увеличить макс скорость ветеляторов, термопасту менял месяц назад.
      Еще были проблемы с запуском DrWeb загрузочной флешки и Касперской ( смогу запустить касперский только в одном режиме) 
      Проблему раньше не замечал пока не начал следить за температурой ноутбука. Но ноутбук был в общем доступе и на него устанвливали читы которые запускали какойто другой виндовс ( Не знаю как описать но запуск ноутбука был с другой заставкой)
       
      CollectionLog-2025.08.14-14.43.zip
       
       
    • Михаил Ш.
      Автор Михаил Ш.
      Обнаружил у себя в кэше на сервере подозрительные записи.
      KES стоит, подозрительной активности не наблюдаю, так что вроде бы сервер в порядке.
      Но данных по сайту в интернете нет.
      Главная страница это явно инжектор скриптов, что в таком виде как сейчас явно намекает на нелегитимное использование.
      Возможно из KSN можно получить больше полезной информации? и в случае подтверждения опасений внести в базу.
       
      Имена:
      tonzz3.ru
      hit.tonzz3.ru
      hitcrypt.tonzz3.ru
       
      P.S. не нашёл подходящей темы и выбрал текущую. Помощь с сервером не нужна.
      Сообщение от модератора kmscom тема перемещена из раздела Помощь в удалении вирусов
    • Amurkin
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
×
×
  • Создать...