Перейти к содержанию
Правила раздела

Подозрительный dll (CPU-майнер?)

Георгий Богданов

От Георгий Богданов
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Георгий Богданов Новичок

Георгий Богданов

Опубликовано
Опубликовано

Запускается через rundll32 и нагружает n-1 ядра процессора.

При включении диспетчера задач перестает нагружать, и как только диспетчер закроется продолжает - в то же время логики для других схожих программ не предусмотренно.

Шлет в сеть менее килобайта данных.

Внутри DLL несколько джипегов и текстовых записей никак по смыслу не обьединенных, выглядит как рандом выгрепанный из ютуба (мб такой способ рандомизировать бинари?).

На вирустотале почти ничего: https://www.virustotal.com/ru/file/be6b147b5f297a22ab3796bdada7061fe464b8801dd75511a98ccb83fb0f105f/analysis/1552033157/

Зашифрованных данных не замечено, счетчик байт записи у соответствующего процесса rundll32 нулевой.

 

c330w80p.7z

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 




begin

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','');

 QuarantineFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','');

 QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','');

 QuarantineFile('C:\Windows\System32\wsaudio.dll','');

 QuarantineFile('C:\Windows\System32\ihctrl32.dll','');

 DeleteFile('C:\Windows\System32\ihctrl32.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ihctrl32\Parameters','ServiceDll','x64');

 DeleteFile('C:\Windows\System32\wsaudio.dll','64');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wsaudio\Parameters','ServiceDll','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x32');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','278D2BF5-530C-43FB-931B-D8927DB609BC','x64');

 DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\278D2BF5-530C-43FB-931B-D8927DB609BC\C374372E-8F25-4B3C-8A98-EB4233F95800.exe','64');

 DeleteFile('C:\Users\User\AppData\Roaming\is-GGON9.tmp\VersionCheck#.bat','64');

 DeleteSchedulerTask('31D3DFAx3D');

 DeleteFile('c:\Program Files (x86)\Corel\CUH\v2\CUH.exe','64');

 DeleteSchedulerTask('CorelUpdateHelperTaskCore');

 DeleteSchedulerTask('Microsoft\extsetup');

 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\extsetup.exe','64');

 DeleteSchedulerTask('Microsoft\KRBUUS\KRBLNKRUN');

 DeleteSchedulerTask('Microsoft\SafeBrowser');

 DeleteFile('C:\Program Files (x86)\Kinoroom Browser\krbrowser.exe','64');

 DeleteSchedulerTask('Microsoft\Windows\A278D2BF5-530C-43FB-931B-D8927DB609BC');

 DeleteSchedulerTask('Microsoft\Windows\extsetup');

 DeleteSchedulerTask('Microsoft\Windows\SafeBrowser');

ExecuteSysClean;

RebootWindows(true);

end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 




begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки автологгера).

 




O2 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)

O2-32 - HKLM\..\BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • wolfson
      На компьютере, вероятно, был майнер
      От wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
    • Слава999
      Майнер джон
      От Слава999
      Добрый вечер, подцепил майнер джон, все уже перепробовал не могу удалить, программы не даёт скачать, сайты не открывает с антивирусом, сразу закрывает браузер, пишу с телефона, с такой проблемой сталкивался уже год назад, обращался к вам помогли
×
×
  • Создать...