Перейти к содержанию

Помогите вывести вирус-майнер VID001


Рекомендуемые сообщения

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
C:\Users\admin\Start Menu\Programs\Startup\
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

в каждой из этих папок образуется файл vid001.exe

kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

8 минут назад, Nerff сказал:

В сети более 40 машин

Пролечите с помощью KVRT.

 

9 минут назад, Nerff сказал:

на каждой из них стоит лицензионный каспер

Пока ни о чем не говорит. Какая версия? Как настроена? Есть ли у локального администратора возможность отключать защиту?

 

10 минут назад, Nerff сказал:

На компьютере постоянно появляются папки

Порядок оформления запроса о помощи

 

Один компьютер - одна тема.

Ссылка на сообщение
Поделиться на другие сайты

После пролечивания вирус снова появляется.
 

Версия: Kaspersky Endpoint Security 11.3.0.773. Локальный администратор может выгрузить его.

 

Лог прикрепил.

CollectionLog-2020.07.15-17.40.zip

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Nerff сказал:

Локальный администратор может выгрузить его

Это одна из причин.

 

Утилиты лечения как раз следует запускать от имени администратора.

Цитата

Ran by:    s.eliseev    (group: Limited User)

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {73a3641d-9899-11ea-9264-1078d2d65be5} - "E:\setup.exe" 
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {a07b6970-9908-11ea-9264-1078d2d65be5} - "F:\setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-2267304049-600055561-1418866498-1515\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\Drivers\wtqqamae.sys:changelist [356]
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\exefile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.exe:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\comfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.com:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\scrfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.scr:  =>  <==== ATTENTION
    FirewallRules: [{F5580E7F-53B4-4815-85D1-65D1ECF0E81D}] => (Allow) LPort=15000
    FirewallRules: [{DE62FFD1-3661-4976-975B-AF59B4C398E6}] => (Allow) LPort=15000
    FirewallRules: [{770A74A2-14F1-4441-83BB-1E6287B5C9DF}] => (Allow) LPort=82
    FirewallRules: [{8920D700-D02E-413C-B976-1E8BF910D7CB}] => (Allow) LPort=82
    FirewallRules: [{1C708258-009E-4044-BD7A-733976361638}] => (Allow) LPort=15001
    FirewallRules: [{E58ED0D3-F92B-4201-B39B-B35F5F512FDF}] => (Allow) LPort=15001
    FirewallRules: [{DC92E695-89E5-4670-96A0-DEFB5725305E}] => (Allow) LPort=15000
    FirewallRules: [{0F22A1F5-0E47-4B40-A1C1-77BB17FAED15}] => (Allow) LPort=15001
    FirewallRules: [{B8E07461-D2F5-4210-831C-4F912B786961}] => (Allow) LPort=135
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От VEE
      Здравствуйте.
      Безуспешно пытаюсь побороть данного трояна. Пересоздается через 5-7 минут после удаления с помощью KAV21.1.
      Прикладываю архив с файлом, в котором Касперский обрануживает майнера. Пароль на архив "1" без кавычек
      Помогите пожалуйста.
       
       
    • От Fadei
      Не могу удалить майнер 
      first_log.txt
    • От NAVARO
      Привет Ребята!
       
      У меня тоже появился VmWare - который запускается в месте с Windows - Нагружает Процессор - Повышает Обороты кулеров и т.д
      Удаляю Папку VmWare из ProgramData  - после перезагрузки он снова появляется и запускается..

      Сканировал - разными антивирусами нечего не помогло (wind defender / drweb / avz / mylwarebyte )
       
      Отклюаю Кабель Интернета - Все утихает 

      Снимаю Задачу в Диспетчере - Все утихает
       
      С Нетерпеньем Жду Ваших Указаний :)
       
    • От BlitGaming
      Короче. Живу, живу, и вдруг у меня ноутбук начинает ОЧЕНЬ сильно греться. Думаю термопаста высохла. Потом открываю speedfan. (Прога я ей пользуюсь) и вижу нагрузку процессора 100%.
      Захожу в ParkControl вижу все 8 потоков заняты под 100%. И тут я понимаю что что-то здесь не чисто. Открываю диспетчер задач и на секунду вижу имя процесса Dll... и нагрузку 100%. Потом через 2 секунды в SpeedFan я вижу нагрузку 1-2 %. Гуглю название. И вижу! DllHosteX.exe - Вирус майнер! Вообщем нужна помощь по удалению. Если понадобятся логи UVS то могу предоставить. (Эти программы я уже скачал.)

      P.S После этого перестал появляться процесс DllHosteX.exe. Начали появляться процессы со странными названиями примерно 2-3. Типа HskwkLmckqskd в папке Temp. Они также нагружают процессор. Пробовал удалить. Пишет: Отказано в доступе.
    • От cyberstory
      Друзья,возник такой вопрос-как найти вшитый скрытый майнер в программе заархивированнной в winrar архиве?Т.е как его обнаружить на наличие или нет.И при этом иметь доказательные факты.
×
×
  • Создать...