Перейти к содержанию

[РЕШЕНО] CoinMiner


Рекомендуемые сообщения

Здравствуйте. У меня следующая проблема: после некоторого времени, когда я никак не взаимодействую с компьютером, начинаются сильные лаги. Например, смотрю видео и через 5-10-15 минут оно начинает сильно тормозить. Движение мышкой убирает лаги.
Попытки отследить проблему через диспетчер задач не увенчались успехом. Он просто закрывается. Скачать антивирус (dr web cureit ) у меня тоже не вышло. Как только попадаю на страницу загрузки - закрывается браузер.
По запросам в гугле нашел этот форум. Тут  у других людей были похожие проблемы.
Autologger после запуска сразу закрывается. Я скачал FRST. Из файла Addition.txt от Виндовс Дефендера узнал, что имею Trojan:Win64/CoinMiner.WT
Как написать файл Fixlog.txt я не разобрался. Прошу вас о помощи.
прикрепляю файлы Addition.txt и FRST.txt

Файлики.rar

Ссылка на комментарий
Поделиться на другие сайты

Process Hacker 2 - сами устанавливали?

Порты сами открывали?

FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494

FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494

FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393

Folder: C:\ProgramData\WindowsTask\

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    VirusTotal: C:\Programdata\RealtekHD\taskhostw.exe;C:\Programdata\WindowsTask\winlogon.exe;C:\WINDOWS\system32\Cmeau6620.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-842675625-226283872-2718725969-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe 
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {F05C6944-E365-4738-963A-555F390DA41E} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe [390144 2019-04-19] () [File not signed] <==== ATTENTION
    C:\Programdata\WindowsTask\winlogon.exe
    lternateDataStreams: C:\Users\Hentai\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Hentai\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{F1D1EC42-FF7C-4A81-BD01-36D29BE9A870}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{8724B9E3-DF35-45EA-BF95-266D6C8797FB}] => (Allow) D:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{0CC9E65F-4B21-4F15-9018-8FA0926CF274}] => (Block) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{02DC165E-7A6F-4D78-915C-FC908A1C5C5D}] => (Allow) E:\Programms\Unity\Unity Prog\2019.1.0f2\Editor\Unity.exe No File
    FirewallRules: [{8E362100-8B4A-4E53-A74A-4C820BF032C4}] => (Allow) C:\Program Files\Microsoft Office\root\Office16\Lync.exe (Microsoft Corporation -> Microsoft Corporation)
    FirewallRules: [{5B0B072A-4B06-4A89-9B7F-129E42E961F6}] => (Allow) C:\ProgramData\Blackmagic Design\DaVinci Resolve\Support\QtDecoder\QTDecoder.exe No File
    FirewallRules: [{97072B1E-E137-43A9-8D48-656ACA0AED07}] => (Allow) E:\Programms\DaVinci\DPDecoder.exe No File
    FirewallRules: [{37665D56-A9D2-4B2A-A8EE-4251E960EF69}] => (Allow) E:\Programms\DaVinci\OxygenPanelDaemon.exe No File
    FirewallRules: [{842036A2-C75C-4A5B-8E7F-061CC760DED2}] => (Allow) E:\Programms\DaVinci\ElementsPanelDaemon.exe No File
    FirewallRules: [{58536F86-C671-487F-88BC-007D915ADF8D}] => (Allow) E:\Programms\DaVinci\TangentPanelDaemon.exe No File
    FirewallRules: [{11F1F0AF-825C-486E-9BE9-2ABD74A010AA}] => (Allow) E:\Programms\DaVinci\EuphonixPanelDaemon.exe No File
    FirewallRules: [{D1DB9765-40D8-4F0C-9D77-1F0489641169}] => (Allow) E:\Programms\DaVinci\JLCooperPanelDaemon.exe No File
    FirewallRules: [{A70A4F29-3382-4B4C-9850-6CA6E4A8E1BC}] => (Allow) E:\Programms\DaVinci\DaVinciPanelDaemon.exe No File
    FirewallRules: [{B8DA4409-421C-4416-88D1-F2B37FF266CD}] => (Allow) E:\Programms\DaVinci\bmdpaneld.exe No File
    FirewallRules: [{6BADDD88-DC10-4F23-995D-ED0B7813584C}] => (Allow) E:\Programms\DaVinci\Resolve.exe No File
    FirewallRules: [{3B566C35-105A-4A78-B468-FAE30E26C292}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{418C57E5-B932-422A-ADAE-9E56CA00903E}] => (Allow) E:\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
    FirewallRules: [{AA11EFC0-F01E-4411-8A0C-70C7073880AF}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{86764A41-A72F-4BFE-A568-87AD8C7054AC}] => (Allow) E:\Steam\Steam.exe No File
    FirewallRules: [{7B6AC7E1-C900-4E88-9D85-6C875132F356}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    FirewallRules: [{0D4D61B5-D3FB-436E-A4D4-48FB5EC44024}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Порты пытался открывать, но не эти. Про Process Hacker 2 ничего сказать не могу.
Все сделал. Компьютер перезагрузился. Прикрепляю fixlog.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Тогда закроем эти

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    (Realtek Semiconductor) [File not signed] C:\ProgramData\RealtekHD\taskhostw.exe
    C:\Programdata\RealtekHD\taskhostw.exe
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:41 - 000000000 __SHD C:\ProgramData\RunDLL
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:34 - 000000000 __SHD C:\ProgramData\WindowsTask
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
    2019-11-14 09:33 - 2019-11-14 09:33 - 000000000 __SHD C:\ProgramData\RealtekHD
    FirewallRules: [{EED5D1B7-758E-43B2-AABF-D7676F9EC368}] => (Allow) LPort=9494
    FirewallRules: [{BAA98180-2248-493B-A7EB-D7B27F170070}] => (Allow) LPort=9494
    FirewallRules: [{3CD89C93-A560-4A00-9788-537DDFA9B274}] => (Allow) LPort=9393
    FirewallRules: [{A50254DE-5FE1-4F9C-B13C-73E09FC3BF7B}] => (Allow) LPort=9393
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

После попробуйте собрать логи автологером.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ из папки Autologger (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\SystemC');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

После перезагрузки, выполните такой скрипт:

 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
Проверьте, что с проблемой.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Всё сделал.
Имя карантин-а(ов):
2019.11.17_quarantine_0044ac851417672f9adec18ca811b164.7z

На все страницы зайти могу, ничего не закрывается. Компьютер перестал тормозить.
Спасибо вам огромное!

Ссылка на комментарий
Поделиться на другие сайты

Подготовьте лог лог SecurityCheck by glax24 и закройте найденные уязвимости. Изменено пользователем akoK
Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • DrRybkin
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • seiqwi0o
      Автор seiqwi0o
      Здравствуйте! Скачал зип архив для установки лаунчера игры, неоднократно запускал Setup.exe от имени администратора, ничего не происходило, затем пришло уведомление от антивируса.
      Через пару дней была попытка увести телеграмм (активная сессия с моего декстопа, но из другой страны и с другим названием устройства/пользователя). Запаниковал, удалил браузеры кроме еджа, не знаю зря ли.
      Вирус, обнаруженный дефендером при установке:

      В результате первого сканирования KVRT был обнаружен и вылечен: 
      После второго сканирования:

      Все удалось удалить, после перезагрузки ПК никаких обнаружений.
      Скажите, пожалуйста, компьютер до сих пор уязвим, нужно предпринять еще какие-то меры?
      CollectionLog-2025.08.02-01.22.zip
×
×
  • Создать...