LIKSER 0 Опубликовано 12 марта, 2020 Share Опубликовано 12 марта, 2020 Добрый день товарищи. На компе обнаружен майнер,который каждый раз перерождается,после удаления с помощью malwarebytes anti-malware и web curelt Удалится он...пару часов всё норм...потом БАЦ и комп начинает тупить и появляется в диспетчере процесс conhost.exe Скриншот диспетчера задач: Товарищи,прикрепляю логи от антивируса malwarebytes anti-malware и от AutoLogger-test Родненькие...Не понимаю от куда эта зараза рождается...уже даже винду переустанавливал с чистого листа (удалял раздел,форматировал)... Винда проверенная,много лет на ней. Если можно,скажите от куда именно эта ересь рождается... Спасайте,товарищи CollectionLog-2020.03.12-17.01.zip malwarebytes anti-malware.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 12 марта, 2020 Share Опубликовано 12 марта, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe'); StopService('WinsockSvc'); QuarantineFile('C:\Windows\java.exe', ''); QuarantineFile('C:\Windows\System32\drivers\conhost.exe', ''); QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', ''); DeleteFile('C:\Windows\java.exe', '32'); DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64'); DeleteFile('c:\windows\syswow64\drivers\conhost.exe', ''); DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64'); DeleteService('WinsockSvc'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 12 марта, 2020 Автор Share Опубликовано 12 марта, 2020 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\syswow64\drivers\conhost.exe'); StopService('WinsockSvc'); QuarantineFile('C:\Windows\java.exe', ''); QuarantineFile('C:\Windows\System32\drivers\conhost.exe', ''); QuarantineFile('c:\windows\syswow64\drivers\conhost.exe', ''); DeleteFile('C:\Windows\java.exe', '32'); DeleteFile('C:\Windows\System32\drivers\conhost.exe', '64'); DeleteFile('c:\windows\syswow64\drivers\conhost.exe', ''); DeleteFile('c:\windows\syswow64\drivers\conhost.exe', '64'); DeleteService('WinsockSvc'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. 1.Скрипт сделал и отправил на почту. 2.Сейчас сделал проверку Dr.Web CureIt!. Он не чего не нашел. В диспетчере задач кушающего процесса нету. Прикрепляю новый CollectionLog. и ЛОГ Dr.Web CureIt!. Жду ответ от почты... Скажите пожалуйста,возможно определить,от куда рождается этот вирус? Только что проверил антивирусом Malwarebytes anti-malware и он опять нашел 2 угрозы CollectionLog-2020.03.12-18.13.zip Dr.Web CureIt!..log Malwarebytes anti-malware.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Сегодня ночью скачал еще и KVRT. Он нашел майнер.зип на Д диске в папке под названием "222" Интересно то,что этой папки при открытии диска не видно,хотя у меня включено обнаружение скрытых файлов (тоесть я везде вижу скрытые файлы,даже на этом диске) Попасть в эту папку можно введя в адресной строке D:\222 В этой папке оказалась винда МНОЙ установленная в 2019 году,НО самое интересное то,что я не когда не ставил её на этот жесткий. Майнер.зип был в папке ехсплорер...Саму же папку 222 не удалить,ибо из адреса D:\ её не видно Вобщем я в ручную удалил,освободив тем самым почти 20 ГБ... Щас сосчитав вес файлов я понял,что у меня на этом жестком диске ещё что-то невидимое в размере 10ГБ Вы не знаете случайно,как это обнаружить можно? Логи FRST.txt и Addition.txt Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe" HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe" ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. нашел майнер.зип на Д дискеЭто уже не активная угроза. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {3acc418b-63cc-11ea-af98-1e497b9d8dac} - "F:\Install MegaFon Internet.exe" HKU\S-1-5-21-1579948318-3187721062-4250614942-1000\...\MountPoints2: {bfeddcaf-643e-11ea-af4a-20cf3090006d} - "F:\Install MegaFon Internet.exe" ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. нашел майнер.зип на Д дискеЭто уже не активная угроза. Fixlog.txt готов Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Первоначальная проблема решена? Вы не знаете случайно,как это обнаружить можно? Попробуйте с помощью этой утилиты. p.s. Не цитируйте полностью предыдущее сообщение. Используйте форму "Ответить" внизу. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 (изменено) Пока что процесс conhost не включается и не кушает не чего...Надо потестить сутки,двое... Хочу после всего этого переустановить винду,но боюсь,не появится ли это всё заново...Я так и не понял,от куда это чудо каждый раз появлялось после каждого раза удаления. Сейчас проверю утилиту,которую Вы мне предложили. Изменено 13 марта, 2020 пользователем LIKSER Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Хочу после всего этого переустановить виндуЭто лишнее. Я так и не понял,от куда это чудо каждый раз появлялосьДавайте проверим: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 Cделал,вот лог SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Вот вам и ответ: ------------------------------- [ Windows ] ------------------------------- Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4512486 Внимание! Скачать обновления HotFix KB4534310 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows ---------------------- [ AntiVirusFirewallInstall ] ----------------------- Malwarebytes Anti-Malware, версия 2.2.0.1024 v.2.2.0.1024 Внимание! Скачать обновления --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления -------------------------------- [ Arch ] --------------------------------- Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую. Всё перечисленное следует обновить/исправить. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 Да,у меня выключены все обновления-это многолетняя привычка. Все программы после переустановок винд ставлю с жесткого диска...Тоесть по-сути они проверенные годами. ВинРар...вот кстати это меня осенило...Это единственное,что я ставил не из своих проверенных файлов...Щас,кстати после проверок и лечений,у меня архивы отображаются как не известный формат (открываются,но выглядят иначе). Спасибо Вам за помощь. День,два посмотрю за работой ПК и обязательно отпишусь тут о результатах. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 марта, 2020 Share Опубликовано 13 марта, 2020 Контроль учетных записей (UAC) следует обязательно включать. выключены все обновления-это многолетняя привычкаТем самым вы "открываете двери" для подобных инцидентов. Ставьте обновления локально. Ссылка на сообщение Поделиться на другие сайты
LIKSER 0 Опубликовано 13 марта, 2020 Автор Share Опубликовано 13 марта, 2020 Увы....Опять только что врубился conhost.exe грузящий процессор... Malwarebytes опять нашел те же самые вирусы Думаю,что зараза лежит где-то на D или Е диске,но антивири её не находят,так как С диск я полностью форматировал и удалял раздел после прошлой переустановки винды,до обращения к Вам на форум. P/S ВинРар установил ваш-свой удалил. Просто нет слов Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения