Перейти к содержанию

Помогите вывести вирус-майнер VID001


Рекомендуемые сообщения

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
C:\Users\admin\Start Menu\Programs\Startup\
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

в каждой из этих папок образуется файл vid001.exe

kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

8 минут назад, Nerff сказал:

В сети более 40 машин

Пролечите с помощью KVRT.

 

9 минут назад, Nerff сказал:

на каждой из них стоит лицензионный каспер

Пока ни о чем не говорит. Какая версия? Как настроена? Есть ли у локального администратора возможность отключать защиту?

 

10 минут назад, Nerff сказал:

На компьютере постоянно появляются папки

Порядок оформления запроса о помощи

 

Один компьютер - одна тема.

Ссылка на комментарий
Поделиться на другие сайты

После пролечивания вирус снова появляется.
 

Версия: Kaspersky Endpoint Security 11.3.0.773. Локальный администратор может выгрузить его.

 

Лог прикрепил.

CollectionLog-2020.07.15-17.40.zip

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Nerff сказал:

Локальный администратор может выгрузить его

Это одна из причин.

 

Утилиты лечения как раз следует запускать от имени администратора.

Цитата

Ran by:    s.eliseev    (group: Limited User)

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {73a3641d-9899-11ea-9264-1078d2d65be5} - "E:\setup.exe" 
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {a07b6970-9908-11ea-9264-1078d2d65be5} - "F:\setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-2267304049-600055561-1418866498-1515\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\Drivers\wtqqamae.sys:changelist [356]
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\exefile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.exe:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\comfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.com:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\scrfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.scr:  =>  <==== ATTENTION
    FirewallRules: [{F5580E7F-53B4-4815-85D1-65D1ECF0E81D}] => (Allow) LPort=15000
    FirewallRules: [{DE62FFD1-3661-4976-975B-AF59B4C398E6}] => (Allow) LPort=15000
    FirewallRules: [{770A74A2-14F1-4441-83BB-1E6287B5C9DF}] => (Allow) LPort=82
    FirewallRules: [{8920D700-D02E-413C-B976-1E8BF910D7CB}] => (Allow) LPort=82
    FirewallRules: [{1C708258-009E-4044-BD7A-733976361638}] => (Allow) LPort=15001
    FirewallRules: [{E58ED0D3-F92B-4201-B39B-B35F5F512FDF}] => (Allow) LPort=15001
    FirewallRules: [{DC92E695-89E5-4670-96A0-DEFB5725305E}] => (Allow) LPort=15000
    FirewallRules: [{0F22A1F5-0E47-4B40-A1C1-77BB17FAED15}] => (Allow) LPort=15001
    FirewallRules: [{B8E07461-D2F5-4210-831C-4F912B786961}] => (Allow) LPort=135
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

  • 10 месяцев спустя...
16.07.2020 в 13:25, Nerff сказал:

Спасибо за помощь, тему можно закрыть. Нашли основного распространителя, с остатками справился каспер.

Похожая проблема
Как вы нашли распространителя?

Ссылка на комментарий
Поделиться на другие сайты

@Londonist, здравствуйте!

Не пишите в чужих темах (тем более в таких устаревших), здесь - это нарушение правил.

Создайте свою тему и выполните Порядок оформления запроса о помощи

 

Закрыто.

Ссылка на комментарий
Поделиться на другие сайты

  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Adozel
      Автор Adozel
      В последнее время моргал монитор пк, что напрягло. Проверяла пк на вирусы через Dr.Web CureIt! обнаружил 3, которые сразу удалила. Проверяла после через Dr.Web CureIt! и вечером через kaspersky и больше ничего не нашлось. Напрягло, что иногда цп поднималось больше обычного в программах по типу word или играх в которых не повышалось так, как раньше. И повышается энергопотребление. Также заметила, что system съедает очень много трафика (подключение через кабеля). Если раньше он особо не превышал 1 гб, то сейчас 53 гб. Также диспетчер задач часто показывает долгие скачки интернета, хотя может открыта лишь одна вкладка хрома. Не уверена, что это именно, но может быть что-то серьезное?



      CollectionLog-2025.06.11-22.35.zip
    • Inkk
      Автор Inkk
      Заметил что на рабочем столе нагрузка цп стала подниматься до 41% что для моего ПК очень не типично, везде смотрел и как только начал интересоваться, начали закрываться программы, антивирус установить не могу, вирус прсото запрещает это сделать. Вкладки в браузере которы могут навредить вирусу так же закрываются. Полная проверка виндовс ничего не дала. Как его удалить? И что вообще делать? 
    • godstar
      Автор godstar
      После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил: 
    • Namido
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...