[РЕШЕНО] Поймал майнинг VMware.

25 июля, 2020

Скачал игру, после чего заметил что система грузится на 80-90% и решил посмотреть что это и нашёл такой файл (vm3dservice и vmtoolsd). Пытался удалить но это ничего не исправило. Майнер запускается после перезагр узки. Его нет не в автозагрузке, не в автозагрузки системы.

CollectionLog-2020.07.25-16.33.zip

25 июля, 2020

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Web Companion

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis:

O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

25 июля, 2020

2 часа назад, Sandor сказал:
Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN).

"Пофиксите" в HijackThis:
O17 - DHCP DNS 2: 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{24283d33-e1b6-4827-beac-63ecfe1f35c2}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{42358313-d149-4ebb-a0aa-ff1282d02954}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E06F030-7526-11D2-BAF4-00600815A4BD}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7afc3eac-9c71-4b0f-86ee-be30b1f877fc}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8096da52-2b10-11ea-b97c-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9cb7fef4-6c5d-4b82-a62e-8b8eb3856d20}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9dddba57-110b-488c-bb39-eea00fbee381}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{9f08ebf7-0c2a-4695-8d43-72ae8861df28}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a96db2c1-89f1-41b3-90e7-ae8d2a87f8b6}: [NameServer] = 37.59.58.122
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.

А если майнер опять запустился ?

Изменено 25 июля, 2020 пользователем Oxigen4ik

25 июля, 2020

1. Не цитируйте полностью выдаваемые Вам рекомендации.

2. Выполните рекомендации в полном объеме и предоставьте новые логи.

25 июля, 2020

Вот новые логиCollectionLog-2020.07.25-22.07.zip

25 июля, 2020

2 часа назад, Oxigen4ik сказал:

А если майнер опять запустился ?

Как вы это определили? В логах не видно.

Я просил деинсталлировать Web Companion, почему не сделали?

Также удалите Malwarebytes, какая-то непонятная версия.

Затем:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

25 июля, 2020

Я сделал как вы просили, деинсталировал web companion.
А вот файл я прикрепить не могу, т.к. .txt не допустимый файл

25 июля, 2020

15 минут назад, Sandor сказал:

Как вы это определили?

На вопросы отвечайте, пожалуйста.

9 минут назад, Oxigen4ik сказал:

файл я прикрепить не могу

Странно. Тогда упакуйте его в архив.

25 июля, 2020

Я определил это, потому что после перезапуска устройства( из-за скрипка который вы мне кинули), в диспетчере задач заново появились процессы (VMware Tools Core Service)

AdwCleaner[S00].rar

25 июля, 2020

Понятно.

Malwarebytes [20200712]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"
Все-таки удалите.

Затем:

1. Предустановленное ПО не трогайте, остальное чистим:

Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Информационная панель нажмите Запустить проверку.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

25 июля, 2020

Цитата

Desktop.rar AdwCleaner[C01].rar

26 июля, 2020

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:


Start:: 

CreateRestorePoint: 
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {4c9283dd-c118-11ea-b9c8-f0def1da531a} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fd9f84-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
HKU\S-1-5-21-2287066022-585752403-1793034657-1001\...\MountPoints2: {81fdbef3-8fab-11ea-b9b9-7ce9d3328db6} - "E:\HiSuiteDownLoader.exe"  
GroupPolicy: Restriction - Windows Defender <==== ATTENTION 
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION 
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION 
Virustotal:C:\Users\Apple_Frash\AppData\Roaming\ProductAuthenticationService\pas.exe 
C:\ProgramData\VMware\VMware Tools\vm3dservice.exe 
C:\ProgramData\VMware\VMware Tools 
AV: Avast Antivirus (Disabled - Up to date) {8EA8924E-BC81-DC44-8BB0-8BAE75D86EBF} 
FW: Avast Antivirus (Disabled) {B693136B-F6EE-DD1C-A0EF-229B8B0B29C4} 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File 
AlternateDataStreams: C:\Users\Apple_Frash\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
AlternateDataStreams: C:\Users\Apple_Frash\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] 
EmptyTemp: 
Reboot: 
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Следы бывшей установки Avast очистите по соотв. инструкции:

Чистка системы после некорректного удаления антивируса.

Изменено 26 июля, 2020 пользователем Sandor

26 июля, 2020

А скрипт в какой программе выполнить ?

Нашел

Когда выполняю скрипт пишет:

26 июля, 2020

Написано же, что выполнять нужно в FRST.

26 июля, 2020

а, извиняюсь.

Fixlog.rar

Войти

[РЕШЕНО] Поймал майнинг VMware.

Рекомендуемые сообщения

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Posted Images

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 468

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Sandor 1 253

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 468

Ссылка на сообщение

Поделиться на другие сайты

Oxigen4ik 0

Ссылка на сообщение

Поделиться на другие сайты

Похожий контент

Sandor 1 253

thyrex 1 468

Sandor 1 253

Sandor 1 253

Sandor 1 253

Sandor 1 253

thyrex 1 468