Перейти к содержанию
Правила раздела
Викторина по домашним продуктам "Лаборатории Касперского"

[РЕШЕНО] Поймал майнинг VMware.

Oxigen4ik

Автор Oxigen4ik,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Oxigen4ik

Oxigen4ik 0

Опубликовано
Опубликовано

Скачал игру, после чего заметил что система грузится на 80-90% и решил посмотреть что это и нашёл такой файл (vm3dservice и vmtoolsd). Пытался удалить но это ничего не исправило. Майнер запускается после перезагр узки. Его нет не в автозагрузке, не в автозагрузки системы.    

 

CollectionLog-2020.07.25-16.33.zip

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Oxigen4ik

    18

  • Sandor

    14

  • thyrex

    3

  • ЮзерДелл

    1

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

thyrex

1. Не цитируйте полностью выдаваемые Вам рекомендации. 2. Выполните рекомендации в полном объеме и предоставьте новые логи.  

thyrex

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

Posted Images

Sandor

Sandor 1 303

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

Web Companion

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis: 

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на сообщение
Поделиться на другие сайты
Oxigen4ik

Oxigen4ik 0

Опубликовано
  • Автор
Опубликовано (изменено)
2 часа назад, Sandor сказал:

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis: 


O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

А если майнер опять запустился ?

Изменено пользователем Oxigen4ik
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 418

Опубликовано
Опубликовано

1. Не цитируйте полностью выдаваемые Вам рекомендации.

2. Выполните рекомендации в полном объеме и предоставьте новые логи.

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано
2 часа назад, Oxigen4ik сказал:

А если майнер опять запустился ?

Как вы это определили? В логах не видно.

 

Я просил деинсталлировать Web Companion, почему не сделали?

Также удалите Malwarebytes, какая-то непонятная версия.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Oxigen4ik

Oxigen4ik 0

Опубликовано
  • Автор
Опубликовано

Я сделал как вы просили, деинсталировал web companion.
А вот файл я прикрепить не могу, т.к. .txt не допустимый файл

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано
15 минут назад, Sandor сказал:

Как вы это определили?

На вопросы отвечайте, пожалуйста.

 

9 минут назад, Oxigen4ik сказал:

файл я прикрепить не могу

Странно. Тогда упакуйте его в архив.

Ссылка на сообщение
Поделиться на другие сайты
Oxigen4ik

Oxigen4ik 0

Опубликовано
  • Автор
Опубликовано

Я определил это, потому что после перезапуска устройства( из-за скрипка который вы мне кинули), в диспетчере задач заново появились процессы (VMware Tools Core Service)

 

AdwCleaner[S00].rar

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано

Понятно.

 

Malwarebytes [20200712]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"
Все-таки удалите.

 

Затем:

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 303

Опубликовано
Опубликовано (изменено)

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 


Start:: 

CreateRestorePoint: 
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {4c9283dd-c118-11ea-b9c8-f0def1da531a} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fd9f84-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fdbef3-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
GroupPolicy: Restriction - Windows Defender <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Virustotal:C:\Users\Apple_Frash\AppData\Roaming\ProductAuthenticationService\pas.exe 
C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
C:\ProgramData\VMware\VMware Tools 
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} 
FW: Avast Antivirus (Disabled) {B693136B-F6EE-DD1C-A0EF-229B8B0B29C4} 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File 
AlternateDataStreams: C:\Users\Apple_Frash\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
AlternateDataStreams: C:\Users\Apple_Frash\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
EmptyTemp: 
Reboot: 
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • Galem333
      Сможет ли вирус сбежать из виртуальной машины?
      От Galem333
      Допустим, возьмём Vmware Workstation Pro, и будем мы запускать в ней вредоносное ПО. Из мер безопасности приняты (отсутствие общих папок), всё, гостевые дополнения установлены, Интернет включен. Также вопрос к любителям побаловаться на виртуальной машине: бывало ли у вас такое, что вирус выбирался из виртуальной среды и наносил урон основной системе?
    • Rey_fw
      Вирус/майнер невозможно распознать
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Magda
      GenericRXUL-CN!5C70929A2D9E что это?
      От Magda
      Доброго времени 
       
      Собираюсь скачать крякнутую Корону  9 для 3ds Max  . Что возможно было проверить , то проверено через ВирусТотал
      Загружен файл был через песочницу   ,  связи с чем  не знаю прикрепится ли он здесь (размер  638,6 мб) 
      ВирусТотал выдал одно предупреждение . Что это значит ? Вирус ,майнинг ? Или не стоит обращать внимания и вреда не причинит?
      Вот оно (и в теме его название тоже):
       

       
       
    • Bond911
      вирус-майнинг не могу найти и удалить!
      От Bond911
      Вообще как не стыдно мне было бы,но скачав программу Скинченжера для дота 2 заметил ,что после неё компьютер стал странно работать ,когда я играю компьютер начинает усиленно работать и процессор нагружается до100% ,но как только вкл Диспетчер задач,всё опускается до 40%, и игры начали как то подвисать, а игра дота 2 и во вовсе "типично" вылетает.Я переустанавливал винду 2 раза искал с помощью многих сканов,все равно,либо у меня уже бзиг и просто старый процессор,либо очень скрытный майнер.Извините если не расставляю запятые )
    • Snaypertipo
      Сеансы пользователей Kaspersky Security для виртуальных сред 5.1. Легкий агент
      От Snaypertipo
      Приветствую!
      Столкнулся с проблемой: на всех без исключения виртуальных машинах в KSC не отображаются сеансы доменных пользователей, работающих в данный момент за устройством.
      Опрос домена производится корректно, физические машины определяются, как и пользователи за ними, а конкретно в случае виртуализации информация отсутствует.
      Может ли на это влиять какая-либо служба в самой ОС ВМ, либо конфигурация золотого образа в VMware vSphere, либо настройки SVM? Подскажите, пожалуйста, в какую сторону смотреть, чтобы исправить эту проблему. 
×
×
  • Создать...