Перейти к содержанию

Помогите вывести вирус-майнер VID001


Рекомендуемые сообщения

Добрый день.

На компьютере постоянно появляются папки на диске С. Создаются древа папок с подобными маршрутами:

 
C:\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\
C:\Users\admin\Start Menu\Programs\Startup\
C:\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

в каждой из этих папок образуется файл vid001.exe

kaspersky endpoint security опеределяет его как Worm.NSIS.BitMin.d, удаляет, но зловред появляется вновь спустя несколько минут.
В сети более 40 машин, операционки разные: Win7, 8.1, 10, на каждой из них стоит лицензионный каспер, но от заражения это не уберегло. Помогите избавится.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

8 минут назад, Nerff сказал:

В сети более 40 машин

Пролечите с помощью KVRT.

 

9 минут назад, Nerff сказал:

на каждой из них стоит лицензионный каспер

Пока ни о чем не говорит. Какая версия? Как настроена? Есть ли у локального администратора возможность отключать защиту?

 

10 минут назад, Nerff сказал:

На компьютере постоянно появляются папки

Порядок оформления запроса о помощи

 

Один компьютер - одна тема.

Ссылка на сообщение
Поделиться на другие сайты

После пролечивания вирус снова появляется.
 

Версия: Kaspersky Endpoint Security 11.3.0.773. Локальный администратор может выгрузить его.

 

Лог прикрепил.

CollectionLog-2020.07.15-17.40.zip

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Nerff сказал:

Локальный администратор может выгрузить его

Это одна из причин.

 

Утилиты лечения как раз следует запускать от имени администратора.

Цитата

Ran by:    s.eliseev    (group: Limited User)

 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится

 

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {73a3641d-9899-11ea-9264-1078d2d65be5} - "E:\setup.exe" 
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\...\MountPoints2: {a07b6970-9908-11ea-9264-1078d2d65be5} - "F:\setup.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    CHR HKU\S-1-5-21-2267304049-600055561-1418866498-1515\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    AlternateDataStreams: C:\Windows\system32\Drivers\wtqqamae.sys:changelist [356]
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\exefile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.exe:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\comfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.com:  =>  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\scrfile:  <==== ATTENTION
    HKU\S-1-5-21-2267304049-600055561-1418866498-1515\Software\Classes\.scr:  =>  <==== ATTENTION
    FirewallRules: [{F5580E7F-53B4-4815-85D1-65D1ECF0E81D}] => (Allow) LPort=15000
    FirewallRules: [{DE62FFD1-3661-4976-975B-AF59B4C398E6}] => (Allow) LPort=15000
    FirewallRules: [{770A74A2-14F1-4441-83BB-1E6287B5C9DF}] => (Allow) LPort=82
    FirewallRules: [{8920D700-D02E-413C-B976-1E8BF910D7CB}] => (Allow) LPort=82
    FirewallRules: [{1C708258-009E-4044-BD7A-733976361638}] => (Allow) LPort=15001
    FirewallRules: [{E58ED0D3-F92B-4201-B39B-B35F5F512FDF}] => (Allow) LPort=15001
    FirewallRules: [{DC92E695-89E5-4670-96A0-DEFB5725305E}] => (Allow) LPort=15000
    FirewallRules: [{0F22A1F5-0E47-4B40-A1C1-77BB17FAED15}] => (Allow) LPort=15001
    FirewallRules: [{B8E07461-D2F5-4210-831C-4F912B786961}] => (Allow) LPort=135
    EmptyTemp:
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • 10 months later...
16.07.2020 в 13:25, Nerff сказал:

Спасибо за помощь, тему можно закрыть. Нашли основного распространителя, с остатками справился каспер.

Похожая проблема
Как вы нашли распространителя?

Ссылка на сообщение
Поделиться на другие сайты

@Londonist, здравствуйте!

Не пишите в чужих темах (тем более в таких устаревших), здесь - это нарушение правил.

Создайте свою тему и выполните Порядок оформления запроса о помощи

 

Закрыто.

Ссылка на сообщение
Поделиться на другие сайты
  • Sandor закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • минеевиван
      От минеевиван
      HEUR. trojan.win64.Miner.gen при каждом запуске компьютера
    • OpsAce
      От OpsAce
      Здравствуйте.
      Появилась проблема, каждую минуту KIS выдаёт сообщение “Обнаружен вредоносный объект” и “Результат проверки объекта передан сторонней программе”. Как это исправить и остановить не понимаю, при проверки файла, на который ругается KIS говорит, что вирусов не найдено, но при этом оповещения не перестают приходить.
      Отчет и скриншот прикрепляю. ОС Win 10

      CollectionLog-2021.05.30-15.19.zip 1.txt
    • Tarnn
      От Tarnn
      Доброго времени суток, уважаемые форумчане!
      Сразу к делу:
      На ПК периодически появляется один и тот же майнер (в исходных ему директориях). Программа KVRT отважно его удаляет, но ни пройдет и нескольких дней, как он (вирус) снова восстаёт из пепла.
      (Предыстория темы) В попытках установить антивирус Касперского столкнулся с одной важной проблемой - установщик вообще не запускался. Полазив по форуму, нашел и выполнил код в FRST на сброс директорий, и, вуаля, установщик Kasp запустился, но дальше скачивания не прошёл.

      Скриншот проблемы + лог с AutoLogger + лог с FRST  прикрепляю к теме. (Установка проводилась, само собой, от имени администратора)

      CollectionLog-2021.05.11-09.55.zip FarbarLog.rar
    • Batyrkhan
      От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки. перезагружал и нечего, без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл вот лог
      CollectionLog-2021.02.12-18.55.zip
    • Batyrkhan
      От Batyrkhan
      путь С:\ProgramData\Flock\Flock.exe пытался удалить способами через ютуб нечего не помогло! пытался лечить с помощью перезагрузки перезагружал и нечего без перезагрузки тоже но когда перезагружал ПК  касперский снова нашел этот файл 
       
×
×
  • Создать...