Перейти к содержанию

Подозрения в майнинге


Рекомендуемые сообщения

Привет, хотел бы попросить помощи. Сегодня решил зайти в пириформ спесси и проверить температуру железа. 
Заметил в простое 49-52 градуса у процессора.
Уже читал тему про подобный вирус на этом форуме. Открываю диспетчер и на секунду вижу странный процесс, который моментально исчезает, а температура падает до обычной.
Установил uvs, посмотрел эти файлики, все находятся по пути  Roaming\microsoft\systemcertificates\My\CTLs и Microsoft\protect\. Но по первому пути ничего нету в папке CTLs, хотя увс показывает, что в ней находятся exe. файлы. Хочу разобраться, сам не шарю в таких делах. Спасибо заранее.

post-54637-0-36745300-1561484262_thumb.jpg

post-54637-0-14967000-1561484268_thumb.jpg

post-54637-0-10954000-1561484274_thumb.jpg

post-54637-0-57289700-1561484413_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 


 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 



begin
 QuarantineFile('C:\ProgramData\rneadwpapkavoston\rneadwresmai.exe','');
 QuarantineFile('C:\Users\Михаил\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\rneadwpapkamai\rneadwprocobolmai.exe','');
 QuarantineFile('C:\Program Files\inteldriverpack\intel.exe','');
 TerminateProcessByName('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe');
 QuarantineFile('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe','');
 DeleteFile('C:\Users\Михаил\AppData\Roaming\Win32\MSASCuiiL.exe','32');
 DeleteFile('C:\Program Files\inteldriverpack\intel.exe','64');
 DeleteSchedulerTask('MicrosoftServicces');
 DeleteSchedulerTask('PowerMonitor');
 DeleteSchedulerTask('rneadwsborkavtoz');
 DeleteSchedulerTask('rneadwvosaut');
 DeleteSchedulerTask('SearchGo Task');
 DeleteFile('C:\Users\Михаил\AppData\Roaming\Microsoft\SystemCertificates\My\CTLs\rneadwpapkamai\rneadwprocobolmai.exe','64');
 DeleteFile('C:\ProgramData\rneadwpapkavoston\rneadwresmai.exe','64');
 DeleteFile('C:\Users\Михаил\AppData\Local\SearchGo\searchgo.exe','64');
ExecuteSysClean;
RebootWindows(true);
end.


 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 



begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.


 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis

 



O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)


 

Деинсталлируйте:



Video and Audio Plugin UBar


 

Сделайте новые логи Автологгером. 

 

Ссылка на комментарий
Поделиться на другие сайты

Извините, что так долго. Работал. Всё сделал, папку отправил. Вот новый лог.


@mike 1, я так понял, что запуск вируса остановили. Температура процессора больше не поднимается, в диспетчере задач эту штуку не видел, но в файлы остались.

CollectionLog-2019.06.26-16.46.zip

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!


  • Временно выгрузите антивирус, файрволл и прочее защитное ПО.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,C:\Program Files\inteldriverpack\intel.exe <==== ATTENTION
HKU\S-1-5-19\...\Run: [] => [X]
HKU\S-1-5-20\...\Run: [] => [X]
HKU\S-1-5-21-612268883-699251428-1138393310-1000\...\Run: [] => [X]
HKU\S-1-5-21-612268883-699251428-1138393310-1000\...\Run: [FLBackup] => C:\Program Files (x86)\NewSoftware's\Folder Lock\FLComServCtrl.ex
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKU\S-1-5-21-612268883-699251428-1138393310-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [enafhpjmlnpmbdnbpjkihmadnkfnpiim] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
virustotal: C:\Windows\SysWow64\WinVDEdrv6.sys
S3 68r0gYDhpxDPsbVY5SYBMQBDnyqydko; \??\C:\Users\Михаил\Desktop\mine\sanya\RuslanDriverprotect.sys [X]
S3 ADRBOFRPTNGB; \SystemRoot\System32\drivers\ADRBOFRPTNGB.sys [X]
S3 AOPQISMHHOCR; \SystemRoot\System32\drivers\AOPQISMHHOCR.sys [X]
S3 ARJIPRAALLMK; \SystemRoot\System32\drivers\ARJIPRAALLMK.sys [X]
S3 BEKRNERPPKLS; \SystemRoot\System32\drivers\BEKRNERPPKLS.sys [X]
S3 BJMCIKNPOSHJ; \SystemRoot\System32\drivers\BJMCIKNPOSHJ.sys [X]
S3 CEDCEAFRDIKN; \SystemRoot\System32\drivers\CEDCEAFRDIKN.sys [X]
S3 CSPTTBISFOBS; \SystemRoot\System32\drivers\CSPTTBISFOBS.sys [X]
S3 DAAGFDKOBLJP; \SystemRoot\System32\drivers\DAAGFDKOBLJP.sys [X]
S3 GBBDEPTBEKPJ; \SystemRoot\System32\drivers\GBBDEPTBEKPJ.sys [X]
S3 HQIJAOBICCAH; \SystemRoot\System32\drivers\HQIJAOBICCAH.sys [X]
S3 IACQDIPJIDHO; \SystemRoot\System32\drivers\IACQDIPJIDHO.sys [X]
S3 IBHEEFAJSEKM; \SystemRoot\System32\drivers\IBHEEFAJSEKM.sys [X]
S3 JRDMLJQRTBNL; \SystemRoot\System32\drivers\JRDMLJQRTBNL.sys [X]
S3 KIHREQGMFFDO; \SystemRoot\System32\drivers\KIHREQGMFFDO.sys [X]
S3 KOIGGTLRGTNF; \SystemRoot\System32\drivers\KOIGGTLRGTNF.sys [X]
S3 LwW8J35gqJnWyK53f7TTIeb8e6K5O8H; \??\E:\sanya\RuslanDriverprotect.sys [X]
S3 MJILCLGHPDOH; \SystemRoot\System32\drivers\MJILCLGHPDOH.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 OIBHQNSEITNR; \SystemRoot\System32\drivers\OIBHQNSEITNR.sys [X]
S3 PJGBQRSCTDCN; \SystemRoot\System32\drivers\PJGBQRSCTDCN.sys [X]
S3 PQDPBPPEFHKT; \SystemRoot\System32\drivers\PQDPBPPEFHKT.sys [X]
S3 QCSNSMMFNQIJ; \SystemRoot\System32\drivers\QCSNSMMFNQIJ.sys [X]
S3 SQQCDIKTCCLT; \SystemRoot\System32\drivers\SQQCDIKTCCLT.sys [X]
2019-03-30 17:12 - 2019-06-26 16:23 - 000000000 __SHD C:\Users\Михаил\AppData\Roaming\Win32
2019-03-30 17:10 - 2019-03-30 17:12 - 025358336 _____ C:\Users\Михаил\AppData\Roaming\intpor3.exe
2019-04-26 19:47 - 2019-04-26 19:47 - 000000053 _____ C:\Windows\WrpYGF74DrEm.ini
2018-03-11 09:52 - 2018-03-11 09:52 - 000000232 _____ () C:\Users\Михаил\AppData\Roaming\del.bat
2019-01-13 11:56 - 2019-01-13 11:56 - 000221302 _____ () C:\Users\Михаил\AppData\Roaming\DMGR_1N1I1F1S1T1I0M1F1Q2Y1I1P1B0C1F1Q1P.txt
2018-12-24 16:44 - 2018-12-24 16:56 - 000002659 _____ () C:\Users\Михаил\AppData\Roaming\droid4xinstaller.log
2019-03-30 17:10 - 2019-03-30 17:12 - 025358336 _____ () C:\Users\Михаил\AppData\Roaming\intpor3.exe
2019-03-10 17:40 - 2019-03-10 17:41 - 000000691 _____ () C:\Users\Михаил\AppData\Roaming\MPQEditor.ini
2017-08-11 18:31 - 2019-01-02 10:57 - 000007606 _____ () C:\Users\Михаил\AppData\Local\Resmon.ResmonCfg
2019-03-17 08:01 - 2019-03-17 08:10 - 000000072 _____ () C:\Users\Михаил\AppData\Local\update_progress.txt
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер будет перезагружен.


  • Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на комментарий
Поделиться на другие сайты


  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ванькаветер
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Salieri
      От Salieri
      Здравствуйте, столкнулся с такой проблемой что у меня начали вылазить окна cmd, долгая перезагрузка, обновления какие-то, проблемы с производительностью. Нужна ваша помощь, антивирусы не дают ничего.CollectionLog-2024.11.17-12.39.zip
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • iLuminate
      От iLuminate
      Есть подозрение на взлом, так как при переходе C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Администрирование - Ярлык появляется ярлык которые указан на скриншоте.

      FRST.txt Addition.txt
×
×
  • Создать...