Перейти к содержанию

[РЕШЕНО] CoinMiner


Рекомендуемые сообщения

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги.
Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер.
По запросам в гугле нашел этот форум. Тут  у других людей были похожие проблемы.
Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT
Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи.
прикрепляю файлы Addition.txt и FRST.txt

Файлики.rarПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Process Hacker 2 - сами устанавливали?

Порты сами открывали?

FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494

FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494

FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393

Folder: C:\ProgramData\WindowsTask\

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    VirusTotal: C:\Programdata\RealtekHD\taskhostw.exe;C:\Programdata\WindowsTask\winlogon.exe;C:\WINDOWS\system32\Cmeau6620.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe 
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F05C6944-E365-4738-963A-555F390DA41E} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
    C:\Programdata\WindowsTask\winlogon.exe
    lternateDataStreams: C:\Users\Hentai\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Hentai\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{F1D1EC42-FF7C-4A81-BD01-36D29BE9A870}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{8724B9E3-DF35-45EA-BF95-266D6C8797FB}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{0CC9E65F-4B21-4F15-9018-8FA0926CF274}] => (Block) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{02DC165E-7A6F-4D78-915C-FC908A1C5C5D}] => (Allow) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{8E362100-8B4A-4E53-A74A-4C820BF032C4}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe (Microsoft Corporation -> Microsoft Corporation)
    FirewallRules: [{5B0B072A-4B06-4A89-9B7F-129E42E961F6}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe No File
    FirewallRules: [{97072B1E-E137-43A9-8D48-656ACA0AED07}] => (Allow) E:\Programms\DaVinci\DPDecoder.exe No File
    FirewallRules: [{37665D56-A9D2-4B2A-A8EE-4251E960EF69}] => (Allow) E:\Programms\DaVinci\OxygenPanelDaemon.exe No File
    FirewallRules: [{842036A2-C75C-4A5B-8E7F-061CC760DED2}] => (Allow) E:\Programms\DaVinci\ElementsPanelDaemon.exe No File
    FirewallRules: [{58536F86-C671-487F-88BC-007D915ADF8D}] => (Allow) E:\Programms\DaVinci\TangentPanelDaemon.exe No File
    FirewallRules: [{11F1F0AF-825C-486E-9BE9-2ABD74A010AA}] => (Allow) E:\Programms\DaVinci\EuphonixPanelDaemon.exe No File
    FirewallRules: [{D1DB9765-40D8-4F0C-9D77-1F0489641169}] => (Allow) E:\Programms\DaVinci\JLCooperPanelDaemon.exe No File
    FirewallRules: [{A70A4F29-3382-4B4C-9850-6CA6E4A8E1BC}] => (Allow) E:\Programms\DaVinci\DaVinciPanelDaemon.exe No File
    FirewallRules: [{B8DA4409-421C-4416-88D1-F2B37FF266CD}] => (Allow) E:\Programms\DaVinci\bmdpaneld.exe No File
    FirewallRules: [{6BADDD88-DC10-4F23-995D-ED0B7813584C}] => (Allow) E:\Programms\DaVinci\Resolve.exe No File
    FirewallRules: [{3B566C35-105A-4A78-B468-FAE30E26C292}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{418C57E5-B932-422A-ADAE-9E56CA00903E}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{AA11EFC0-F01E-4411-8A0C-70C7073880AF}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{86764A41-A72F-4BFE-A568-87AD8C7054AC}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{7B6AC7E1-C900-4E88-9D85-6C875132F356}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    FirewallRules: [{0D4D61B5-D3FB-436E-A4D4-48FB5EC44024}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Порты пытался открывать, но не эти. Про Process Hacker 2 ничего сказать не могу.
Все сделал. Компьютер перезагрузился. Прикрепляю fixlog.

Fixlog.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Тогда закроем эти

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    (Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
    C:\Programdata\RealtekHD\taskhostw.exe
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\ProgramData\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\ProgramData\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
    FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
    FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
    FirewallRules: [{A50254DE-5FE1-4F9C-B13C-73E09FC3BF7B}] => (Allow) LPort=9393
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

После попробуйте собрать логи автологером.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Проверьте, что с проблемой.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Всё сделал.
Имя карантин-а(ов):
2019.11.17_quarantine_0044ac851417672f9adec18ca811b164.7z

На все страницы зайти могу, ничего не закрывается. Компьютер перестал тормозить.
Спасибо вам огромное!

Ссылка на комментарий
Поделиться на другие сайты

Подготовьте лог лог SecurityCheck by glax24 и закройте найденные уязвимости. Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ВасилийВ
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • wastezxc
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • Виктория12333
      Автор Виктория12333
      Здравствуйте. Доктор Веб cureit нашел данные вирусы и не смог удалить их. Образ автозапуска, фарбар и доктор веб прикреплю. Также у меня возникал вопрос по поводу того, может ли кто нибудь подключаться к моему пк удаленно и на одном сайте было написано, что в "управлении компьютером" в  Terminal-Services-RemoteConnectionManager есть какие-то посторонние процессы, то подозрительно. А у меня там вообще ничего нет это норм? А вот в Terminal-Services-LocalSessionManager есть какие-то процессы в то время, когдаотчёты.rar я пк не польDESKTOP-KSVMTSD_2025-03-28_23-49-44_v4.99.10v x64.7zзовалась. 
×
×
  • Создать...