Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Подозрение на майнер

Saiberex

Автор Saiberex
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 43
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    22

  • Saiberex

    22

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
SREG
icsuspend
dirzoo %SystemRoot%\NETWORKDISTRIBUTION


;---------command-block---------
bl 0ABDAC01D3756E03DFB872373966D1B2 129024
zoo %Sys32%\SECURENETBIOSSYSTEM.DLL
delall %Sys32%\SECURENETBIOSSYSTEM.DLL
apply

zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBEAY32.DLL
bl F01F09FE90D0F810C44DCE4E94785227 903168
addsgn 79132211B9E9317E0AA1AB5952CB12057863670B76059487D048293DBCFE724C23B4732B3345144487FC898FCF03E18670CF616FF1A6BD3CA4420453CA16AB4E 64 Win32:Rootkit-gen [Rtk] [Avast] 7

zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBICONV-2.DLL
bl 5ADCBE8BBBA0F6E733550CE8A9762FA0 970393
addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF59713F55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 Trojan.Equation.135 [DrWeb] 7

zoo %SystemRoot%\NETWORKDISTRIBUTION\X64.DLL
bl 6DC722C9844E61427A47A2759A8FBEC0 156160
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B891744C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4105AD038CAEEBF 64 Trojan.Win64.BitMin.aoy [Kaspersky] 7

chklst
delvir

deldir %SystemRoot%\NETWORKDISTRIBUTION\

czoo
areg
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению

Ещё это, пожалуйста.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Если да, повторите тот же последний скрипт, загрузив систему в безопасном режиме (карантин можно уже не отправлять).

Ссылка на комментарий
Поделиться на другие сайты
Saiberex

Saiberex

Опубликовано
  • Автор
Опубликовано (изменено)

Предположу, что папка на месте, верно?

 

Неа, не верно.

Я специально решил подождать сутки, полтора, вирус исчез, папка не создаётся... %)

 

Ладно, вот Вам еще один пациент, уже сервер, библиотечный. Перезагружать тоже не желательно, но далеко не так критично, как, например, сервер с 1С (воплей будет меньше... гораздо меньше)

 

Правда с отключением антивирусного ПО сложновато, т.к. стоит KSWS 10.1.0.622

 

4a7e61301bff.jpg

 

Если скажете как его отключить буду очень благодарен

CollectionLog-2019.03.30-12.10.zip

Изменено пользователем Saiberex
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

вот Вам еще один пациент,

Другой компьютер - другая тема.

 

Здесь в завершение:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ OtherUtilities ] ----------------------------

TeamViewer 13 v.13.2.26558 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 20 (64-bit) v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-x64.exe)^

Java 8 Update 20 v.8.0.200 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player + Authorware Web Player v.v12.1.3.153 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 65.0.1 (x64 ru) v.65.0.1 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Firefox!^

Opera Stable 58.0.3135.107 v.58.0.3135.107 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

---------------------------- [ UnwantedApps ] -----------------------------

HaoZip, версия 4.3.1.9468 v.4.3.1.9468 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

 

Malwarebytes, версия 3.7.1.2839 можете деинсталлировать.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

 

Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • searing
      [РЕШЕНО] Подозрение на майнер
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
×
×
  • Создать...