Перейти к содержанию

[РЕШЕНО] Поймал майнинг VMware.


Рекомендуемые сообщения

  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • Oxigen4ik

    18

  • Sandor

    14

  • thyrex

    3

  • ЮзерДелл

    1

Top Posters In This Topic

Popular Posts

1. Не цитируйте полностью выдаваемые Вам рекомендации. 2. Выполните рекомендации в полном объеме и предоставьте новые логи.  

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

Posted Images

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Если честно, я в этом не спец :) 
И я путаюсь в прогах, скрипта и т.п.

 

Можете подсказать как делать логи Farbar, может я все не так делаю ?

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    (Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
    (VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe
    R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
    C:\ProgramData\VMware
    
    Task: {A2F0701B-30E4-42ED-B268-D6F338D4939A} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe
    Task: {E00EBC31-DD50-4478-AC22-0334DD75F55D} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe
    2020-07-12 09:24 - 2020-07-25 22:47 - 000000000 ___DC C:\Program Files (x86)\Malwarebytes
    2020-07-11 10:26 - 2019-12-30 21:59 - 000000000 ___DC C:\Users\Все пользователи\AVAST Software
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:

1.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

добрый день

на моем компе именно приложение Malwarebytes запускало этого майнера vm3dservice. Malwarebytes  прописалось в автозагрузке, создавало папку vmware tools, туда копировало кипу файлов из собственной папки Malwarebytes  и стартовало процесс vm3dservice. После включения через Касперского в группу Недоверенные - в истории Malwarebytes отобразилось что ей был запрещен запуск vm3dservice. Удалила Malwarebytes  его встроенным анинсталлером "C:\Program Files (x86)\Malwarebytes\unins000.exe", и папку vmware tools. После рестарта пока тихо..

Изменено пользователем ЮзерДелл
ошибка
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Rey_fw
      От Rey_fw
      Добрый день!
      Каким то образом словил вирус/возможно майнер который не могу найти и 100% определить. Не дает запустить установочные файлы антивируса, ранее блокировал сайты антивирусов (решилось исправлением файла хостс). на диске С появились папки антивирусов (скрытые, без возможности зайти и удалить их)
      Попытался сканировать разными антивирусами Dr.Web CureIt! зависает вместе с пк и не сканирует дальше (пк стоял сутки на проверке)
      Аваст пишет что все отлично, вирусов нет. Встроенный антивирус виндовса тоже не выявляет проблему
       
      На форуме нашел крайне похожую ситуацию
      Можно ли помочь решить данный вопрос? Заранее очень и очень благодарен!
      Addition.zip
    • Magda
      От Magda
      Доброго времени 
       
      Собираюсь скачать крякнутую Корону  9 для 3ds Max  . Что возможно было проверить , то проверено через ВирусТотал
      Загружен файл был через песочницу   ,  связи с чем  не знаю прикрепится ли он здесь (размер  638,6 мб) 
      ВирусТотал выдал одно предупреждение . Что это значит ? Вирус ,майнинг ? Или не стоит обращать внимания и вреда не причинит?
      Вот оно (и в теме его название тоже):
       

       
       
    • Bond911
      От Bond911
      Вообще как не стыдно мне было бы,но скачав программу Скинченжера для дота 2 заметил ,что после неё компьютер стал странно работать ,когда я играю компьютер начинает усиленно работать и процессор нагружается до100% ,но как только вкл Диспетчер задач,всё опускается до 40%, и игры начали как то подвисать, а игра дота 2 и во вовсе "типично" вылетает.Я переустанавливал винду 2 раза искал с помощью многих сканов,все равно,либо у меня уже бзиг и просто старый процессор,либо очень скрытный майнер.Извините если не расставляю запятые )
    • Snaypertipo
      От Snaypertipo
      Приветствую!
      Столкнулся с проблемой: на всех без исключения виртуальных машинах в KSC не отображаются сеансы доменных пользователей, работающих в данный момент за устройством.
      Опрос домена производится корректно, физические машины определяются, как и пользователи за ними, а конкретно в случае виртуализации информация отсутствует.
      Может ли на это влиять какая-либо служба в самой ОС ВМ, либо конфигурация золотого образа в VMware vSphere, либо настройки SVM? Подскажите, пожалуйста, в какую сторону смотреть, чтобы исправить эту проблему. 
    • Kilobox
      От Kilobox
      Привет. Пытаюсь перекатиться с NSX-v на NSX-t
      Действую по инструкциям:
      https://support.kaspersky.ru/15667 https://support.kaspersky.com/help/ksv/6.1/ru-RU/90476.htm И в самом конце получаю интересную картину: все инстансы развернуты, имеют Deployment Status - Up, но Health Status - Down
       
       
      На гипервизорах ESXi в syslog видно, что ВМ не достукиваются до второго интерфейса SVM-ок (который vmservice-vshield-pg):
       
      2022-05-30T14:09:29.849Z ContextMux[18188493]: [WARNING] (EPSEC) [18188493] SolutionHandler[0xdfd0f0e910] failed to connect to solution[7498071167106809856] at [169.254.1.60:48651]: Connection refused (111) for guest[5025611f-c712-4107-2939-b3f96ccfd63d : /vmfs/volumes/627258e3-cd54d7d9-0785-e43d1a9863de/vdi-0051/vdi-0051.vmx] 2022-05-30T14:09:29.849Z ContextMux[18188493]: [ERROR] (EPSEC) [18188493] Solution[7498071167106809856] entry not found in the map when trying to disconnect 2022-05-30T14:09:29.849Z ContextMux[18188493]: [ERROR] (EPSEC) [18188493] Entry not found in map for Solution[7498071167106809856] 2022-05-30T14:09:29.849Z ContextMux[18188493]: [WARNING] (EPSEC) [18188493] SolutionHandler[0xdfd0f0e910] scheduling reconnect to solution[7498071167106809856] at 169.254.1.60:48651 in 30000 ms for guest[5025611f-c712-4107-2939-b3f96ccfd63d : /vmfs/volumes/627258e3-cd54d7d9-0785-e43d1a9863de/vdi-0051/vdi-0051.vmx]  
      Пинг проходит, netcat - нет:
       
      [root@hv-esxi005p:] ping 169.254.1.60 PING 169.254.1.60 (169.254.1.60): 56 data bytes 64 bytes from 169.254.1.60: icmp_seq=0 ttl=64 time=0.159 ms 64 bytes from 169.254.1.60: icmp_seq=1 ttl=64 time=0.129 ms  
      [root@hv-esxi005p:] nc -zv 169.254.1.60 48651 nc: connect to 169.254.1.60 port 48651 (tcp) failed: Connection refused  
      Если открыть SVM через консоль vSphere, видно, что у них даже системного имени не появилось, просто localhost
       

       
      Вход под рутом, который указывался при регистрации службы на стороне KSC также не доступен. То есть всё это похоже на то, что настройка инстансов не завершилась. Но при этом Deployment Status - Up 🤷‍♂️
       
      Единственное, что смутило, в инструкции есть такой момент по настройке сетевых параметров разворачиваемых инстансов
       

       
      Но в моем случае чекбокс возле eth1 серый и не выбирается. Но интерфейс и vmk при этом успешно создаются. Предположил, что это неточность инструкции и "System Configured" интерфейс самонастраивается
       
       
      Версии ПО
       
       
       

×
×
  • Создать...