Перейти к содержанию
Nerff

Помогите вывести вирус-майнер VID001

Рекомендуемые сообщения

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
C:\Users\admin\Start Menu\Programs\Startup\
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

в каждой из этих папок образуется файл vid001.exe

kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

8 минут назад, Nerff сказал:

В сети более 40 машин

Пролечите с помощью KVRT.

 

9 минут назад, Nerff сказал:

на каждой из них стоит лицензионный каспер

Пока ни о чем не говорит. Какая версия? Как настроена? Есть ли у локального администратора возможность отключать защиту?

 

10 минут назад, Nerff сказал:

На компьютере постоянно появляются папки

Порядок оформления запроса о помощи

 

Один компьютер - одна тема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

После пролечивания вирус снова появляется.
 

Версия: Kaspersky Endpoint Security 11.3.0.773. Локальный администратор может выгрузить его.

 

Лог прикрепил.

CollectionLog-2020.07.15-17.40.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Nerff сказал:

Локальный администратор может выгрузить его

Это одна из причин.

 

Утилиты лечения как раз следует запускать от имени администратора.

Цитата

Ran by:    s.eliseev    (group: Limited User)

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {73a3641d-9899-11ea-9264-1078d2d65be5} - "E:\setup.exe" 
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {a07b6970-9908-11ea-9264-1078d2d65be5} - "F:\setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-2267304049-600055561-1418866498-1515\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\Drivers\wtqqamae.sys:changelist [356]
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\exefile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.exe:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\comfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.com:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\scrfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.scr:  =>  <==== ATTENTION
    FirewallRules: [{F5580E7F-53B4-4815-85D1-65D1ECF0E81D}] => (Allow) LPort=15000
    FirewallRules: [{DE62FFD1-3661-4976-975B-AF59B4C398E6}] => (Allow) LPort=15000
    FirewallRules: [{770A74A2-14F1-4441-83BB-1E6287B5C9DF}] => (Allow) LPort=82
    FirewallRules: [{8920D700-D02E-413C-B976-1E8BF910D7CB}] => (Allow) LPort=82
    FirewallRules: [{1C708258-009E-4044-BD7A-733976361638}] => (Allow) LPort=15001
    FirewallRules: [{E58ED0D3-F92B-4201-B39B-B35F5F512FDF}] => (Allow) LPort=15001
    FirewallRules: [{DC92E695-89E5-4670-96A0-DEFB5725305E}] => (Allow) LPort=15000
    FirewallRules: [{0F22A1F5-0E47-4B40-A1C1-77BB17FAED15}] => (Allow) LPort=15001
    FirewallRules: [{B8E07461-D2F5-4210-831C-4F912B786961}] => (Allow) LPort=135
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо за помощь, тему можно закрыть. Нашли основного распространителя, с остатками справился каспер.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Версию KSC обновите до актуальной 12-й.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От BlitGaming
      Короче. Живу, живу, и вдруг у меня ноутбук начинает ОЧЕНЬ сильно греться. Думаю термопаста высохла. Потом открываю speedfan. (Прога я ей пользуюсь) и вижу нагрузку процессора 100%.
      Захожу в ParkControl вижу все 8 потоков заняты под 100%. И тут я понимаю что что-то здесь не чисто. Открываю диспетчер задач и на секунду вижу имя процесса Dll... и нагрузку 100%. Потом через 2 секунды в SpeedFan я вижу нагрузку 1-2 %. Гуглю название. И вижу! DllHosteX.exe - Вирус майнер! Вообщем нужна помощь по удалению. Если понадобятся логи UVS то могу предоставить. (Эти программы я уже скачал.)

      P.S После этого перестал появляться процесс DllHosteX.exe. Начали появляться процессы со странными названиями примерно 2-3. Типа HskwkLmckqskd в папке Temp. Они также нагружают процессор. Пробовал удалить. Пишет: Отказано в доступе.
    • От cyberstory
      Друзья,возник такой вопрос-как найти вшитый скрытый майнер в программе заархивированнной в winrar архиве?Т.е как его обнаружить на наличие или нет.И при этом иметь доказательные факты.
    • От Dimonchik
      Приветствую Вас!
       
      На моём компьютере завёлся вирус-майнер, видимо, после установки каких-то очередных игр.
       
      Логи прилагаю и заранее благодарю за помощь.
      CollectionLog-2019.02.26-21.25.zip
    • От Desolator
      Проблема схожа с ситуацией, обсуждаемой в данной теме: https://forum.kasperskyclub.ru/index.php?showtopic=59144
      Неприятности появились около недели назад. Суть заключается в непродолжительных регулярных нагрузках (вплоть до 100%) на ЦП при работающем браузере Maxthon 5 (особенно при запуске), и, возможно, в других случаях.
      Оповещение выдавал Kaspersky Free

      Cперва выдавал "Обнаруженный объект (файл) невозможно вылечить", позже ту же проблему (каждый раз ссылается на другой файл в кэше браузера) предлагал устранить удалением файла. Файл удалялся, но проблема оставалась.
      Удалял папку Temp - не помогло
      Полностью деинсталлировал Maxthon 5 (браузер) - после установки Maxthon 5 заново проблема вернулась
      В данный момент Kaspersky Free не находит вредоносных файлов (при запущенном Maxthon 5)
      Ранее Dr Web Cureit! и Kaspersky Virus Removal Tool не обнаружили вредоносных файлов.
      Trojan.Script.Miner.txt
      CollectionLog-2018.04.29-12.57.zip
    • От mlev
      Подскажите пожалуйста,
      примерно в одно время вставил в комьпютер флешку, и независимо от этого проводил оплату пластиковой карточкой через интернет-магазин.
      В момент завершения оплаты, когда были переданы данные карточки и появилось окно о вводе подтверждающего СМС,
      возникло сообщение от Касперского - обнаружен вирус HEUR:Trojan.BAT.Miner.gen C:\Program Files (x86)\Windows NT\usb2.0.exe//1 Высокая
      (троянская программа) 
      Вопрос собственно в том - стоит ли опасаться того, что этот троян перехватил и уже отправил злоумышленникам данные моей карточки или судя по тому что это майнер - он интересуется не карточками и это просто случайное совпадение. Или то что Касперский поймал этот вирус, значит что и передачу данных злоумышленникам он предотвратил?
       
×
×
  • Создать...