Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрительный dll (CPU-майнер?)

Георгий Богданов

Автор Георгий Богданов
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Георгий Богданов

Георгий Богданов

Опубликовано
Опубликовано

Запускается через rundll32 и нагружает n-1 ядра процессора.

При включении диспетчера задач перестает нагружать, и как только диспетчер закроется продолжает - в то же время логики для других схожих программ не предусмотренно.

Шлет в сеть менее килобайта данных.

Внутри DLL несколько джипегов и текстовых записей никак по смыслу не обьединенных, выглядит как рандом выгрепанный из ютуба (мб такой способ рандомизировать бинари?).

На вирустотале почти ничего: https://www.virustotal.com/ru/file/be6b147b5f297a22ab3796bdada7061fe464b8801dd75511a98ccb83fb0f105f/analysis/1552033157/

Зашифрованных данных не замечено, счетчик байт записи у соответствующего процесса rundll32 нулевой.

 

c330w80p.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','');

 QuarantineFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','');

 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','');

 QuarantineFile('C:\Windows\System32\wsaudio.dll','');

 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');

 DeleteFile('C:\Windows\System32\ihctrl32.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll','x64');

 DeleteFile('C:\Windows\System32\wsaudio.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','64');

 DeleteFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','64');

 DeleteSchedulerTask('31D3DFAx3D');

 DeleteFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','64');

 DeleteSchedulerTask('CorelUpdateHelperTaskCore');

 DeleteSchedulerTask('Microsoft\extsetup');

 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','64');

 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');

 DeleteSchedulerTask('Microsoft\SafeBrowser');

 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','64');

 DeleteSchedulerTask('Microsoft\Windows\A278D2BF5-530C-43FB-931B-D8927DB609BC');

 DeleteSchedulerTask('Microsoft\Windows\extsetup');

 DeleteSchedulerTask('Microsoft\Windows\SafeBrowser');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки автологгера).

 




O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
×
×
  • Создать...