Перейти к содержанию

[РЕШЕНО] Поймал майнинг VMware.


Рекомендуемые сообщения

Скачал игру, после чего заметил что система грузится на 80-90% и решил посмотреть что это и нашёл такой файл (vm3dservice и vmtoolsd). Пытался удалить но это ничего не исправило. Майнер запускается после перезагр узки. Его нет не в автозагрузке, не в автозагрузки системы.    

 

CollectionLog-2020.07.25-16.33.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Oxigen4ik

    18

  • Sandor

    14

  • thyrex

    3

  • ЮзерДелл

    1

Top Posters In This Topic

Popular Posts

1. Не цитируйте полностью выдаваемые Вам рекомендации. 2. Выполните рекомендации в полном объеме и предоставьте новые логи.  

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

Posted Images

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

Web Companion

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis:

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis:


O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

А если майнер опять запустился ?

Изменено пользователем Oxigen4ik
Ссылка на сообщение
Поделиться на другие сайты

1. Не цитируйте полностью выдаваемые Вам рекомендации.

2. Выполните рекомендации в полном объеме и предоставьте новые логи.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Oxigen4ik сказал:

А если майнер опять запустился ?

Как вы это определили? В логах не видно.

 

Я просил деинсталлировать Web Companion, почему не сделали?

Также удалите Malwarebytes, какая-то непонятная версия.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Я сделал как вы просили, деинсталировал web companion.
А вот файл я прикрепить не могу, т.к. .txt не допустимый файл

Ссылка на сообщение
Поделиться на другие сайты
15 минут назад, Sandor сказал:

Как вы это определили?

На вопросы отвечайте, пожалуйста.

 

9 минут назад, Oxigen4ik сказал:

файл я прикрепить не могу

Странно. Тогда упакуйте его в архив.

Ссылка на сообщение
Поделиться на другие сайты

Я определил это, потому что после перезапуска устройства( из-за скрипка который вы мне кинули), в диспетчере задач заново появились процессы (VMware Tools Core Service)

 

AdwCleaner[S00].rar

Ссылка на сообщение
Поделиться на другие сайты

Понятно.

 

Malwarebytes [20200712]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"
Все-таки удалите.

 

Затем:

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:


Start:: 

CreateRestorePoint: 
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {4c9283dd-c118-11ea-b9c8-f0def1da531a} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fd9f84-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fdbef3-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
GroupPolicy: Restriction - Windows Defender <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Virustotal:C:\Users\Apple_Frash\AppData\Roaming\ProductAuthenticationService\pas.exe 
C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
C:\ProgramData\VMware\VMware Tools 
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} 
FW: Avast Antivirus (Disabled) {B693136B-F6EE-DD1C-A0EF-229B8B0B29C4} 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File 
AlternateDataStreams: C:\Users\Apple_Frash\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
AlternateDataStreams: C:\Users\Apple_Frash\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
EmptyTemp: 
Reboot: 
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Galem333
      От Galem333
      Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?
    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Magda
      От Magda
      Доброго времени 
       
      Собираюсь скачать крякнутую Корону  9 для 3ds Max  . Что возможно было проверить , то проверено через ВирусТотал
      Загружен файл был через песочницу   ,  связи с чем  не знаю прикрепится ли он здесь (размер  638,6 мб) 
      ВирусТотал выдал одно предупреждение . Что это значит ? Вирус ,майнинг ? Или не стоит обращать внимания и вреда не причинит?
      Вот оно (и в теме его название тоже):
       

       
       
    • Bond911
      От Bond911
      Вообще как не стыдно мне было бы,но скачав программу Скинченжера для дота 2 заметил ,что после неё компьютер стал странно работать ,когда я играю компьютер начинает усиленно работать и процессор нагружается до100% ,но как только вкл Диспетчер задач,всё опускается до 40%, и игры начали как то подвисать, а игра дота 2 и во вовсе "типично" вылетает.Я переустанавливал винду 2 раза искал с помощью многих сканов,все равно,либо у меня уже бзиг и просто старый процессор,либо очень скрытный майнер.Извините если не расставляю запятые )
    • Snaypertipo
      От Snaypertipo
      Приветствую!
      Столкнулся с проблемой: на всех без исключения виртуальных машинах в KSC не отображаются сеансы доменных пользователей, работающих в данный момент за устройством.
      Опрос домена производится корректно, физические машины определяются, как и пользователи за ними, а конкретно в случае виртуализации информация отсутствует.
      Может ли на это влиять какая-либо служба в самой ОС ВМ, либо конфигурация золотого образа в VMware vSphere, либо настройки SVM? Подскажите, пожалуйста, в какую сторону смотреть, чтобы исправить эту проблему. 

×
×
  • Создать...