Перейти к содержанию

Троян майнер


Рекомендуемые сообщения

Добрый день. Поймал на компьютер майнер, маскрующийся под бездействие системы, создающий дубли исполняемых файлов, новыхпользователей и прочую нечисть. кратко описал проблему тут: https://community.kaspersky.com/kaspersky-rescue-disk-79/virus-menyaet-parametry-zagruzki-9189 за последние 2 дня прошёл систему на несколько раз KVRT и Cure IT KVRT перестал вообще что либо обнаруживать, CureIT крайний раз нашёл 4 dll от майнера и удалил. По реестру и загрузке системы вижу что малварь в системе и ни куда не делся. Часть настроек системы не доступна из-за пониженных привелегий пользователя вирусом. Прикладываю крайний лог работы AVZ. Что делать и как бороться не знаю, систему форматировать в 0 очень не хочется. 

CollectionLog-2020.05.31-23.15.zip

Ссылка на комментарий
Поделиться на другие сайты

@pastral,

 

1) Просьба сделайте экспорт ключа реестра

HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\

2) Скачайте актуальную версию Автологера, ваша уже устарела.

 

3) Просьба соберите логи свежей версией Автологера запустив его с ключом

 -! dbg=y 

Это можно сделать например создав ярлык для запуска Автологера и дописав этот ключ в поле "Объект" после имени файла, либо просто запустим с этим ключом с командной строки.

 

4) Прикрепите свежие логи Автологера, а также файлы report* которые будут созданы в папке с ним.

Ссылка на комментарий
Поделиться на другие сайты

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Дополнительно (2) :)

Еще раз, пожалуйста, скачайте Автологер (он уже обновился) и соберите CollectionLog стандартно (без ключей).

Ссылка на комментарий
Поделиться на другие сайты

Просьба удалите ранее скачанный Автологер и собранные им логи, ещё раз скачайте свежий и соберите свежие логи.
Там просто неправильно парсило и по вашему экспорту реестра доработан вывод в лог. Сейчас пнул сборку вручную и уже должен быть свежий (выше, что просил Сандор собрать был ещё предыдущий).

Ссылка на комментарий
Поделиться на другие сайты

Странно, вы опять собрали предыдущей версией. Видать у вас закешировался файл. Перезалил его сюда, попробуйте скачать отсюда.

Дополнительно перепроверить скачали действительно свежий если откроете AVZ (появится в папке Автологера после его запуска) и проверите версию. То есть открыть AVZ - Справка - О программе. Должно быть написано версия 5.16 от 01.06.2020. Либо проконтролировать эту версию в html логах (написана внизу лога) которые входят в комплект логов которые собирает Автологер.

 

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

1) Включите восстановление системы.

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', '');
 QuarantineFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '');
 QuarantineFileF('D:\7Work\Mount\Windows\System32\config\SYSTEM\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', '64');
 DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64');
 DeleteFileMask('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows', '*', true);
 DeleteDirectory('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft visual C++ 2010', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupfolder: C:^Users^VirusovNet^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EmEditor.lnk [backup] => C:\Program Files (x86)\EmEditor\emedtray.exe (2020/05/27) (file missing)
O4 - MSConfig\startupreg: Microsoft visual C++ 2010 [command] = C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe (HKCU) (2020/04/15) (file missing)
O4 - MSConfig\startupreg: Zona [command] = C:\Program Files (x86)\Zona\Zona.exe /MINIMIZED (HKCU) (2020/04/03) (file missing)
O4 - MSConfig\startupreg: clip2net [command] = C:\Program Files (x86)\Clip2net\Clip2net.exe (HKCU) (2020/04/03) (file missing)
O23 - Service S2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe  (file missing)

5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

 

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Вижу что вы редактируете периодически свой пост. Начинаю все с п.1 сейчас. 23:11 и так же вопрос по отправке на newvirus@kaspersky.com ответ придет спустя какое то время или сразу?

 

UPD:  quarantine.zip пустой

 

1 - готово

2 - готово

3 - готово, архив пустой.

4 - готово

5 - https://virusinfo.info/virusdetector/report.php?md5=879BD281AB5E7A69ECBFB441397D4C15

 

CollectionLog-2020.06.02-00.50.zip

Изменено пользователем pastral
Ссылка на комментарий
Поделиться на другие сайты

При выполнение предыдущего скрипта некорректно отработала чистка реестра.

1) Скачайте свежую (исправленную) версию AVZ по ссылке.

2) Добавьте в реестр рег-файл экспорт которого вы раньше делали. На случай если он у вас не сохранился добавил его в архив с AVZ.

3) Выполните скрипт в AVZ

begin
 DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64');
ExecuteSysClean;
SaveLog(GetAVZDirectory+'ExecuteSysClean.log');
RebootWindows(false);
end.

После скрипта компьютер перезагрузится.

4) Файл ExecuteSysClean.log из папки с AVZ просьба прикрепите.

5) Соберите свежие логи Автологером.

6) Отпишите подробней проблему, по каким признакам вы видите наличие вируса. И заодно есть ли улучшения после скрипта?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • user344
      Автор user344
      Здравствуйте! Недавно компьютер в простое начинает переодически нагружаться до 100%, вентиляторы начинают крутить на полную в течении 5-10 минут, только начинаешь водить мышкой по рабочему столу, то сразу же нагрузка падает до дефолтных значений. Проверял лечащай утилитой др.веб и kvrt они вирусов не нашли.
      CollectionLog-2025.06.25-21.11.zip
    • varzi_73
      Автор varzi_73
      Добрый день! подцепил троян. Как восстановить данные?
      RDesk_Backup.rar
    • FMEKLW
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
×
×
  • Создать...