Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнинг VMware.

Oxigen4ik

От Oxigen4ik
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Oxigen4ik Постоялец

Oxigen4ik

Опубликовано
Опубликовано

Скачал игру, после чего заметил что система грузится на 80-90% и решил посмотреть что это и нашёл такой файл (vm3dservice и vmtoolsd). Пытался удалить но это ничего не исправило. Майнер запускается после перезагр узки. Его нет не в автозагрузке, не в автозагрузки системы.    

 

CollectionLog-2020.07.25-16.33.zip

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Oxigen4ik

    18

  • Sandor

    14

  • thyrex

    3

  • ЮзерДелл

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

thyrex
thyrex

1. Не цитируйте полностью выдаваемые Вам рекомендации. 2. Выполните рекомендации в полном объеме и предоставьте новые логи.  

thyrex
thyrex

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

Posted Images

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

Web Companion

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis: 

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на комментарий
Поделиться на другие сайты
Oxigen4ik Постоялец

Oxigen4ik

Опубликовано
  • Автор
Опубликовано (изменено)
2 часа назад, Sandor сказал:

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis: 


O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

А если майнер опять запустился ?

Изменено пользователем Oxigen4ik
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Не цитируйте полностью выдаваемые Вам рекомендации.

2. Выполните рекомендации в полном объеме и предоставьте новые логи.

 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
2 часа назад, Oxigen4ik сказал:

А если майнер опять запустился ?

Как вы это определили? В логах не видно.

 

Я просил деинсталлировать Web Companion, почему не сделали?

Также удалите Malwarebytes, какая-то непонятная версия.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
15 минут назад, Sandor сказал:

Как вы это определили?

На вопросы отвечайте, пожалуйста.

 

9 минут назад, Oxigen4ik сказал:

файл я прикрепить не могу

Странно. Тогда упакуйте его в архив.

Ссылка на комментарий
Поделиться на другие сайты
Oxigen4ik Постоялец

Oxigen4ik

Опубликовано
  • Автор
Опубликовано

Я определил это, потому что после перезапуска устройства( из-за скрипка который вы мне кинули), в диспетчере задач заново появились процессы (VMware Tools Core Service)

 

AdwCleaner[S00].rar

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Понятно.

 

Malwarebytes [20200712]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"
Все-таки удалите.

 

Затем:

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 


Start:: 

CreateRestorePoint: 
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {4c9283dd-c118-11ea-b9c8-f0def1da531a} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fd9f84-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fdbef3-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
GroupPolicy: Restriction - Windows Defender <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Virustotal:C:\Users\Apple_Frash\AppData\Roaming\ProductAuthenticationService\pas.exe 
C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
C:\ProgramData\VMware\VMware Tools 
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} 
FW: Avast Antivirus (Disabled) {B693136B-F6EE-DD1C-A0EF-229B8B0B29C4} 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File 
AlternateDataStreams: C:\Users\Apple_Frash\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
AlternateDataStreams: C:\Users\Apple_Frash\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
EmptyTemp: 
Reboot: 
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Алексей Брижан
      не находит майнинг вирус
      От Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
    • IrinaC
      Поймали шифровальщика
      От IrinaC
      Здравствуйте!
      Сегодня утром появился шифровальщик, при том в такое время, когда никто не работает, в 6.13 по Москве. Никто не признается, что скачал и запустил зараженный файл, допускаем, что было подключение извне.
      Базы данных, документы, архивы - все файлы получили расширение *.Bpant. При этом, зашифровано всё только на диске D. Диск С остался нетронутым. Логи, зашифрованные данные, письмо от злоумышленников прилагаю.
      Addition.txt FRST.txt Шифровки.rar
×
×
  • Создать...