Перейти к содержанию
Oxigen4ik

[РЕШЕНО] Поймал майнинг VMware.

Рекомендуемые сообщения

Скачал игру, после чего заметил что система грузится на 80-90% и решил посмотреть что это и нашёл такой файл (vm3dservice и vmtoolsd). Пытался удалить но это ничего не исправило. Майнер запускается после перезагр узки. Его нет не в автозагрузке, не в автозагрузки системы.    

 

CollectionLog-2020.07.25-16.33.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

Web Companion

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis:

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


 

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).


"Пофиксите" в HijackThis:


O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122


 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

 

А если майнер опять запустился ?

Изменено пользователем Oxigen4ik

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Не цитируйте полностью выдаваемые Вам рекомендации.

2. Выполните рекомендации в полном объеме и предоставьте новые логи.

 

  • Спасибо (+1) 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Oxigen4ik сказал:

А если майнер опять запустился ?

Как вы это определили? В логах не видно.

 

Я просил деинсталлировать Web Companion, почему не сделали?

Также удалите Malwarebytes, какая-то непонятная версия.

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я сделал как вы просили, деинсталировал web companion.
А вот файл я прикрепить не могу, т.к. .txt не допустимый файл

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
15 минут назад, Sandor сказал:

Как вы это определили?

На вопросы отвечайте, пожалуйста.

 

9 минут назад, Oxigen4ik сказал:

файл я прикрепить не могу

Странно. Тогда упакуйте его в архив.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я определил это, потому что после перезапуска устройства( из-за скрипка который вы мне кинули), в диспетчере задач заново появились процессы (VMware Tools Core Service)

 

AdwCleaner[S00].rar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Понятно.

 

Malwarebytes [20200712]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"
Все-таки удалите.

 

Затем:

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:


Start:: 

CreateRestorePoint: 
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {4c9283dd-c118-11ea-b9c8-f0def1da531a} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fd9f84-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fdbef3-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
GroupPolicy: Restriction - Windows Defender <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Virustotal:C:\Users\Apple_Frash\AppData\Roaming\ProductAuthenticationService\pas.exe 
C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
C:\ProgramData\VMware\VMware Tools 
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} 
FW: Avast Antivirus (Disabled) {B693136B-F6EE-DD1C-A0EF-229B8B0B29C4} 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File 
AlternateDataStreams: C:\Users\Apple_Frash\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
AlternateDataStreams: C:\Users\Apple_Frash\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
EmptyTemp: 
Reboot: 
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).

  • Запустите FRST (FRST64) от имени администратора.

  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Изменено пользователем Sandor

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А скрипт в какой программе выполнить ?

 

Нашел

 

Когда выполняю скрипт пишет:  

Screenshot_1.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Написано же, что выполнять нужно в FRST.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От SergeyLp
      Столкнулся с майнером VMware core tool servers , нашел этот файл C/ProgramData/VMware , удалил после перезагрузки он появился,сильно грузит систему.Удаял его в ручную теперь он не дает себя удалить , нет прав доступа не могу его ограничить , только диспетчером задач не дать ему работать,устанавливать сторонние софты побоялся из-за ещё большего риска , Dr.Web.Curret не дал результатов.Можно ещё помочь или нужно переустановить виндовс?
    • От Adrian
      Здравствуйте! Грузился в диспетчере задач процесс VMware цп 100%, но не придавал особо значения, так как компьютер не смотря на 100% цп загрузку не тормозил и случайно обнаружил процесс что грузит и закрыл его, потом всё равно он появлялся, вчера по рекомендациям на вашем форуме в одной из веток устранил эту проблему с помощью Farbar Recovery Scan Tool, больше в диспетчере задач этот процесс не грузит, также и с папки C:\ProgramData\VMware\VMware Tools  тоже было удалено. DNS были dns1 185.192.111.210 и dns2 37.59.58.122. Поменял в ручную от гугла dns, но сегодня вновь поменялись на прежние. Помогите устранить проблему, чтобы DNS не менялись больше.
      CollectionLog-2020.08.09-11.09.zip
    • От 3aHo3a
      Появилась проблема, каким то образом я получил на свой компьютер майнер, я уже читал статью по поводу этого на форуме но ничего не понял. Я хотел бы попросить вас помочь мне так как я немного чайник во всем этом.
      Если вы это сможете сделать то пожалуйста со всеми пояснениями 🤔 
    • От Acuta
      Добрый день
      С чем, на ваш взгляд, связана истерия с майнингом биткоин и других криптовалют?
      Как вообще криптовалюты повлияют на оборот денег?
      Проще или сложнее будет их воровать?
      Что будет с деньгами, полученными преступным путём (продажа наркотиков, взятки и тд)?
      И главное:
      Влияет ли на вашу деятельность появление криптовалют? Если да, то как?
    • От Elder
      Недавно купил пк новый, и вот решил активировать винду нелегальном способом. Помнится был какой то видос на первом месте или на втором, так вот я тогда сонный был и не решился вникать в осторожность. Ну гляжу я, "140к просмотров", смотрю подписчиков у парня "2к". Думаю, ладно, сойдет, (комментарии решил не смотреть. Скачиваю файл, запускаю, и резко обратил внимание, что размер файла очень маленький а запуск программы не происходит. Бегом смотрю комментарии а там просто жесть, у каждого такого дурачка, как я трояны. Ну запустил я какой-то слабенький антивирус и очистил вроде. Решил отойти от компа, отдохнуть, выпить там, ну и слышу какой-то шум. Подхожу к компу, а это кулера завыли, открываю ДЗ, а там нагрузка на процик идет и какая-то программа, которая сразу же пропадает. Ну тут я начал подозревать, что это шпионская программа, нагуглив название данного процесса, гугл выдал всякие камеры и программы, где ты следишь за открытыми в доступе камерами. Но один этот процесс не давал мне покоя, слишком большая нагрузка, которая пропадала, открыв диспетчер задач. Я решил поискать проблему, наткнулся на статью о майнинг-вирусах. Ну тут осенило меня, что придется качать серьезное ПО по антивирусу. Скачал MalWareBytes и нашел кучу троянов и реальных майнеров, процессы все ушли, но загрузка на пк осталась. То есть, открываю ДЗ, а там резко 30% а потом падает до 1.
      Решил переустановить виндовс, очистил полностью жесткие диски и ssd, но ситуация не поменял, как только я переустановил, врубаю ДЗ, у меня резко 30% на ЦП, потом падает к 1%. Скачал уже всякие привычные мне программы и нагрузка на цп при открытии ДЗ, 35% и падает до 5%. Меня это очень пугает. Ведь неделю назад, когда я купил пк, при любом заходе на ДЗ, цп не нагревался вообще, там всегда было 1-2%. А сейчас 5-7%. Я боюсь, что вирус проник за пределы жесткого диска или, что я повредил мой пк. Позже я установил платную версию касперского, но ситуация не изменилась. Когда я открываю ДЗ, также 30-35% в цп спускаются к 5%. Кстати, шпионская программа действительно ею оказалась. На почту пришли куча уведомлений о входе в мои учетные записи через малазийский айпи. Я хочу разобраться, не повредил ли вирус мой компьютер или не остался он ли существовать в моем пк.


      CollectionLog-2020.05.24-03.02.zip
×
×
  • Создать...