Перейти к содержанию
Авторизация  
LIKSER

[РЕШЕНО] На компе майнер,который перерождается

Рекомендуемые сообщения

Добрый день товарищи.

 

На компе обнаружен майнер,который каждый раз перерождается,после удаления с помощью malwarebytes anti-malware и web curelt

 

Удалится он...пару часов всё норм...потом БАЦ и комп начинает тупить и появляется в диспетчере процесс conhost.exe

Скриншот диспетчера задач:

 

 

hS4U.png

 

 

Товарищи,прикрепляю логи от антивируса malwarebytes anti-malware и от AutoLogger-test

 

Родненькие...Не понимаю от куда эта зараза рождается...уже даже винду переустанавливал с чистого листа (удалял раздел,форматировал)...

Винда проверенная,много лет на ней.

 

Если можно,скажите от куда именно эта ересь рождается...

 

Спасайте,товарищи :(

 

 

CollectionLog-2020.03.12-17.01.zip

malwarebytes anti-malware.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe');
 StopService('WinsockSvc');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\conhost.exe', '');
 QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64');
 DeleteService('WinsockSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe');
 StopService('WinsockSvc');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\conhost.exe', '');
 QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '');
 DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64');
 DeleteService('WinsockSvc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

 

1.Скрипт сделал и отправил на почту.

2.Сейчас сделал проверку Dr.Web CureIt!. Он не чего не нашел. В диспетчере задач кушающего процесса нету.

Прикрепляю новый CollectionLog. и ЛОГ Dr.Web CureIt!.

 

 

Жду ответ от почты...

 

Скажите пожалуйста,возможно определить,от куда рождается этот вирус?

Только что проверил антивирусом Malwarebytes anti-malware и он опять нашел 2 угрозы

hSbv.png

 

CollectionLog-2020.03.12-18.13.zip

Dr.Web CureIt!..log

Malwarebytes anti-malware.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Сегодня ночью скачал еще и KVRT.

Он нашел майнер.зип на Д диске в папке под названием "222"

Интересно то,что этой папки при открытии диска не видно,хотя у меня включено обнаружение скрытых файлов (тоесть я везде вижу скрытые файлы,даже на этом диске)

 

Попасть в эту папку можно введя в адресной строке D:\222

В этой папке оказалась винда МНОЙ установленная в 2019 году,НО самое интересное то,что я не когда не ставил её на этот жесткий.

Майнер.зип был в папке ехсплорер...Саму же папку 222 не удалить,ибо из адреса D:\ её не видно

 

Вобщем я в ручную удалил,освободив тем самым почти 20 ГБ...

 

 

Щас сосчитав вес  файлов я понял,что у меня на этом жестком диске ещё что-то невидимое в размере 10ГБ  :angry:

Вы не знаете случайно,как это обнаружить можно?

 

 

Логи FRST.txt и Addition.txt

Addition.txt

FRST.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

нашел майнер.зип на Д диске

Это уже не активная угроза.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe"
    HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe"
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

 

 

нашел майнер.зип на Д диске

Это уже не активная угроза.

 

Fixlog.txt готов

Fixlog.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Первоначальная проблема решена?

 

Вы не знаете случайно,как это обнаружить можно?

Попробуйте с помощью этой утилиты.

 

p.s.

Не цитируйте полностью предыдущее сообщение. Используйте форму "Ответить" внизу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пока что процесс conhost не включается и не кушает не чего...Надо потестить сутки,двое...

 

Хочу после всего этого переустановить винду,но боюсь,не появится ли это всё заново...Я так и не понял,от куда это чудо каждый раз появлялось после каждого раза удаления.

 

Сейчас проверю утилиту,которую Вы мне предложили.

Изменено пользователем LIKSER

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хочу после всего этого переустановить винду

Это лишнее.

 

Я так и не понял,от куда это чудо каждый раз появлялось

Давайте проверим:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот вам и ответ:

 

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз

Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя отключен (Уровень 1)

^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Автоматическое обновление отключено

------------------------------- [ HotFix ] --------------------------------

HotFix KB3177467 Внимание! Скачать обновления

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4499175 Внимание! Скачать обновления

HotFix KB4474419 Внимание! Скачать обновления

HotFix KB4490628 Внимание! Скачать обновления

HotFix KB4512486 Внимание! Скачать обновления

HotFix KB4534310 Внимание! Скачать обновления

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Malwarebytes Anti-Malware, версия 2.2.0.1024 v.2.2.0.1024 Внимание! Скачать обновления

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.

 

Всё перечисленное следует обновить/исправить.

 

 

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

 

Читайте Рекомендации после удаления вредоносного ПО

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Да,у меня выключены все обновления-это многолетняя привычка.

Все программы после переустановок винд ставлю с жесткого диска...Тоесть по-сути они проверенные годами.

ВинРар...вот кстати это меня осенило...Это единственное,что я ставил не из своих проверенных файлов...Щас,кстати после проверок и лечений,у меня архивы отображаются как не известный формат (открываются,но выглядят иначе).

 

 

Спасибо Вам за помощь.

День,два посмотрю за работой ПК и обязательно отпишусь тут о результатах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Контроль учетных записей (UAC) следует обязательно включать.

 

выключены все обновления-это многолетняя привычка

Тем самым вы "открываете двери" для подобных инцидентов.

Ставьте обновления локально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Увы....Опять только что врубился conhost.exe грузящий процессор...

Malwarebytes опять нашел те же самые вирусы 

 

Думаю,что зараза лежит где-то на D или Е диске,но антивири её не находят,так как С диск я полностью форматировал и удалял раздел после прошлой переустановки винды,до обращения к Вам на форум.

P/S ВинРар установил ваш-свой удалил.

 

hSJM.png

 

Просто нет слов :(    

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...