Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Поймал майнинг VMware.

Oxigen4ik

Автор Oxigen4ik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • Oxigen4ik

    18

  • Sandor

    14

  • thyrex

    3

  • ЮзерДелл

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

thyrex
thyrex

1. Не цитируйте полностью выдаваемые Вам рекомендации. 2. Выполните рекомендации в полном объеме и предоставьте новые логи.  

thyrex
thyrex

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

Изображения в теме

thyrex Мудрец

thyrex

Опубликовано
Опубликовано

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Oxigen4ik Постоялец

Oxigen4ik

Опубликовано
  • Автор
Опубликовано

Если честно, я в этом не спец :) 
И я путаюсь в прогах, скрипта и т.п.

 

Можете подсказать как делать логи Farbar, может я все не так делаю ?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

(Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
(VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe
R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
C:\ProgramData\VMware

Task: {A2F0701B-30E4-42ED-B268-D6F338D4939A} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe
Task: {E00EBC31-DD50-4478-AC22-0334DD75F55D} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe
2020-07-12 09:24 - 2020-07-25 22:47 - 000000000 ___DC C:\Program Files (x86)\Malwarebytes
2020-07-11 10:26 - 2019-12-30 21:59 - 000000000 ___DC C:\Users\Все пользователи\AVAST Software
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Завершающие шаги:

1.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
ЮзерДелл Новичок

ЮзерДелл

Опубликовано
Опубликовано (изменено)

добрый день

на моем компе именно приложение Malwarebytes запускало этого майнера vm3dservice. Malwarebytes  прописалось в автозагрузке, создавало папку vmware tools, туда копировало кипу файлов из собственной папки Malwarebytes  и стартовало процесс vm3dservice. После включения через Касперского в группу Недоверенные - в истории Malwarebytes отобразилось что ей был запрещен запуск vm3dservice. Удалила Malwarebytes  его встроенным анинсталлером "C:\Program Files (x86)\Malwarebytes\unins000.exe", и папку vmware tools. После рестарта пока тихо..

Изменено пользователем ЮзерДелл
ошибка
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KitNE
      [РЕШЕНО] Касперский поймал MEM:Trojan.Win32.SEPEH.gen
      Автор KitNE
      Всем привет,  Касперский нашёл  MEM:Trojan.Win32.SEPEH.gen. Базовое лечение анвирусом не помогает. Попробовал способы с ранних тем форума, результата нет, антивирус снова его находит.
      report1.log report2.log
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      Автор Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
×
×
  • Создать...