Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Подозрение на майнер

Saiberex

Автор Saiberex
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 43
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    22

  • Saiberex

    22

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
SREG
icsuspend
dirzoo %SystemRoot%\NETWORKDISTRIBUTION


;---------command-block---------
bl 0ABDAC01D3756E03DFB872373966D1B2 129024
zoo %Sys32%\SECURENETBIOSSYSTEM.DLL
delall %Sys32%\SECURENETBIOSSYSTEM.DLL
apply

zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBEAY32.DLL
bl F01F09FE90D0F810C44DCE4E94785227 903168
addsgn 79132211B9E9317E0AA1AB5952CB12057863670B76059487D048293DBCFE724C23B4732B3345144487FC898FCF03E18670CF616FF1A6BD3CA4420453CA16AB4E 64 Win32:Rootkit-gen [Rtk] [Avast] 7

zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBICONV-2.DLL
bl 5ADCBE8BBBA0F6E733550CE8A9762FA0 970393
addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF59713F55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 Trojan.Equation.135 [DrWeb] 7

zoo %SystemRoot%\NETWORKDISTRIBUTION\X64.DLL
bl 6DC722C9844E61427A47A2759A8FBEC0 156160
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B891744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4105AD038CAEEBF 64 Trojan.Win64.BitMin.aoy [Kaspersky] 7

chklst
delvir

deldir %SystemRoot%\NETWORKDISTRIBUTION\

czoo
areg
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению

Ещё это, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Если да, повторите тот же последний скрипт, загрузив систему в безопасном режиме (карантин можно уже не отправлять).

Ссылка на комментарий
Поделиться на другие сайты
Saiberex Постоялец

Saiberex

Опубликовано
  • Автор
Опубликовано (изменено)

Предположу, что папка на месте, верно?

 

Неа, не верно.

Я специально решил подождать сутки, полтора, вирус исчез, папка не создаётся... %)

 

Ладно, вот Вам еще один пациент, уже сервер, библиотечный. Перезагружать тоже не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше)

 

Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622

 

4a7e61301bff.jpg

 

Если скажете как его отключить буду очень благодарен

CollectionLog-2019.03.30-12.10.zip

Изменено пользователем Saiberex
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

вот Вам еще один пациент,

Другой компьютер - другая тема.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^

Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player + Authorware Web Player v.v12.1.3.153 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 65.0.1 (x64 ru) v.65.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Opera Stable 58.0.3135.107 v.58.0.3135.107 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip, версия 4.3.1.9468 v.4.3.1.9468 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Malwarebytes, версия 3.7.1.2839 можете деинсталлировать.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • SuPeR_1
      Подозрение на майнер
      Автор SuPeR_1
      Когда играл заметил что ФПС низкий почему то, решил быстро клавишами Ctrl+Shift+Esc диспетчер задач и ЦП со 100% резко падал до дна, и не надо как в прошлый раз писать что диспетчер задач не означает что есть вирус-майнер-троян, у меня ведь и ФПС низкий, раньше в Minecraft были 100-200 ФПС, сейчас 60 и даже меньше. Провёл сканером Dr web и логи собрал. Пол года назад тоже тут обращался, помогли, надеюсь и в этот раз помогут и буду теперь все файлы проверять онлайн-сканером
      CollectionLog-2025.02.23-15.08.zip
    • EpaX
      Подозрение на майнер в процессе dwm.exe
      Автор EpaX
      Пару дней назад, при открытии диспетчера задач, обратила внимание, что загруженность процессора с 99% резко падает на стандартные 3-4%. Плюс замечено откровенное торможение в ресурсоемких процессах. Так же в процессах висит три dwm.exe.
      Утилиты cureIt и касперский не помогли.
      Логи прилагаю. Очень надеюсь на помощь.

      CollectionLog-2025.03.26-21.31.zip
    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      Автор ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • tkm
      [РЕШЕНО] Подозрения на вирус/майнер
      Автор tkm
      Система стала сильно использовать ресурсы. При проверке антивирусом был обнаружен и обезврежен один файл
      CollectionLog-2025.02.28-12.50.zip
×
×
  • Создать...