Перейти к содержанию
Oxigen4ik

[РЕШЕНО] Поймал майнинг VMware.

Рекомендуемые сообщения

Удалите старые и соберите новые логи FRST.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@Oxigen4ik, у Вас определенно проблемы с чтением. Вас просили сделать новые логи Farbar, а не выполнять еще раз предыдущий скрипт.

  • Согласен 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если честно, я в этом не спец :) 
И я путаюсь в прогах, скрипта и т.п.

 

Можете подсказать как делать логи Farbar, может я все не так делаю ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    (Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
    (VMware, Inc. -> VMware, Inc.) [File not signed] C:\ProgramData\VMware\VMware Tools\vm3dservice.exe
    R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
    C:\ProgramData\VMware
    
    Task: {A2F0701B-30E4-42ED-B268-D6F338D4939A} - System32\Tasks\DownloadStudio Standalone Updater => C:\Program Files (x86)\Download Studio\dstudio-gui.exe
    Task: {E00EBC31-DD50-4478-AC22-0334DD75F55D} - System32\Tasks\DownloadStudio Service Repair => C:\Program Files (x86)\Download Studio\dstudiosvc.exe
    2020-07-12 09:24 - 2020-07-25 22:47 - 000000000 ___DC C:\Program Files (x86)\Malwarebytes
    2020-07-11 10:26 - 2019-12-30 21:59 - 000000000 ___DC C:\Users\Все пользователи\AVAST Software
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, Sandor сказал:

Пункт 2 из этого сообщения.

Ещё раз, пожалуйста, для контроля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Завершающие шаги:

1.

Выделите следующий код:

Start::
Zip: c:\FRST\Quarantine\
End::


Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

На рабочем столе появится архив Date_Time.zip (Дата_Время)
Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Объясните чуть поподробней на счет письма на почту, немного не понял 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ответил в личке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

добрый день

на моем компе именно приложение Malwarebytes запускало этого майнера vm3dservice. Malwarebytes  прописалось в автозагрузке, создавало папку vmware tools, туда копировало кипу файлов из собственной папки Malwarebytes  и стартовало процесс vm3dservice. После включения через Касперского в группу Недоверенные - в истории Malwarebytes отобразилось что ей был запрещен запуск vm3dservice. Удалила Malwarebytes  его встроенным анинсталлером "C:\Program Files (x86)\Malwarebytes\unins000.exe", и папку vmware tools. После рестарта пока тихо..

Изменено пользователем ЮзерДелл
ошибка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От Adrian
      Здравствуйте! Грузился в диспетчере задач процесс VMware цп 100%, но не придавал особо значения, так как компьютер не смотря на 100% цп загрузку не тормозил и случайно обнаружил процесс что грузит и закрыл его, потом всё равно он появлялся, вчера по рекомендациям на вашем форуме в одной из веток устранил эту проблему с помощью Farbar Recovery Scan Tool, больше в диспетчере задач этот процесс не грузит, также и с папки C:\ProgramData\VMware\VMware Tools  тоже было удалено. DNS были dns1 185.192.111.210 и dns2 37.59.58.122. Поменял в ручную от гугла dns, но сегодня вновь поменялись на прежние. Помогите устранить проблему, чтобы DNS не менялись больше.
      CollectionLog-2020.08.09-11.09.zip
    • От 3aHo3a
      Появилась проблема, каким то образом я получил на свой компьютер майнер, я уже читал статью по поводу этого на форуме но ничего не понял. Я хотел бы попросить вас помочь мне так как я немного чайник во всем этом.
      Если вы это сможете сделать то пожалуйста со всеми пояснениями 🤔 
    • От Acuta
      Добрый день
      С чем, на ваш взгляд, связана истерия с майнингом биткоин и других криптовалют?
      Как вообще криптовалюты повлияют на оборот денег?
      Проще или сложнее будет их воровать?
      Что будет с деньгами, полученными преступным путём (продажа наркотиков, взятки и тд)?
      И главное:
      Влияет ли на вашу деятельность появление криптовалют? Если да, то как?
    • От Elder
      Недавно купил пк новый, и вот решил активировать винду нелегальном способом. Помнится был какой то видос на первом месте или на втором, так вот я тогда сонный был и не решился вникать в осторожность. Ну гляжу я, "140к просмотров", смотрю подписчиков у парня "2к". Думаю, ладно, сойдет, (комментарии решил не смотреть. Скачиваю файл, запускаю, и резко обратил внимание, что размер файла очень маленький а запуск программы не происходит. Бегом смотрю комментарии а там просто жесть, у каждого такого дурачка, как я трояны. Ну запустил я какой-то слабенький антивирус и очистил вроде. Решил отойти от компа, отдохнуть, выпить там, ну и слышу какой-то шум. Подхожу к компу, а это кулера завыли, открываю ДЗ, а там нагрузка на процик идет и какая-то программа, которая сразу же пропадает. Ну тут я начал подозревать, что это шпионская программа, нагуглив название данного процесса, гугл выдал всякие камеры и программы, где ты следишь за открытыми в доступе камерами. Но один этот процесс не давал мне покоя, слишком большая нагрузка, которая пропадала, открыв диспетчер задач. Я решил поискать проблему, наткнулся на статью о майнинг-вирусах. Ну тут осенило меня, что придется качать серьезное ПО по антивирусу. Скачал MalWareBytes и нашел кучу троянов и реальных майнеров, процессы все ушли, но загрузка на пк осталась. То есть, открываю ДЗ, а там резко 30% а потом падает до 1.
      Решил переустановить виндовс, очистил полностью жесткие диски и ssd, но ситуация не поменял, как только я переустановил, врубаю ДЗ, у меня резко 30% на ЦП, потом падает к 1%. Скачал уже всякие привычные мне программы и нагрузка на цп при открытии ДЗ, 35% и падает до 5%. Меня это очень пугает. Ведь неделю назад, когда я купил пк, при любом заходе на ДЗ, цп не нагревался вообще, там всегда было 1-2%. А сейчас 5-7%. Я боюсь, что вирус проник за пределы жесткого диска или, что я повредил мой пк. Позже я установил платную версию касперского, но ситуация не изменилась. Когда я открываю ДЗ, также 30-35% в цп спускаются к 5%. Кстати, шпионская программа действительно ею оказалась. На почту пришли куча уведомлений о входе в мои учетные записи через малазийский айпи. Я хочу разобраться, не повредил ли вирус мой компьютер или не остался он ли существовать в моем пк.


      CollectionLog-2020.05.24-03.02.zip
    • От Жанна Байкова
      Добрый день!
       
      У меня возникла проблема на рабочем компьютере: на некоторых страницах в Chrome появляется баннер порно-портала BongaCams. Примечательно, что такой баннер появляется в браузерах и у моих коллег.
       
      Из-за браузерного вируса с перебоями работает CMS 1С Битрикс, через которую я размещаю материалы на корпоративном сайте. Сайт иногда работает некорректно: при нажатии на кнопку или ссылку может перебросить в другой раздел. Если нажать Ctrl+U, иногда появляется следующий код:
       


       
      Если перейти по ссылке [ссылка] из кода страницы, то попадаешь на сайт майнеров.
       
      Консоль работает со сбоями: я не всегда могу загрузить картинку, некоторые функции не работают, иногда процесс работы не сохраняется при нажатии, приходится делать все заново. Поэтому прежде чем сохранять материал, приходится копировать код.
       
      Обратилась за помощью к разработчикам сайта. Они проверили код сайта, работу консоли и со своей стороны ничего не нашли.
       
      Открывала сайт на домашнем компьютере, консоль работала исправно.
       
      Тогда на рабочем компьютере я запустила проверку с помощью Kaspersky Endpoint Security для Windows 11.0.0.6499. Антивирус не выявил ничего. 
       
      После этого я установила Malwarebytes AdwCleaner. После чистки консоль начала время от времени работать (с переменным успехом), однако баннер BongaCams все еще всплывает в Chrome. Я опробовала работать в CMS Битрикс в других баузерах - там консоль так же работает с переменным успехом (то нормально, то сбоит).
       
      Я позвала на помощь нашего сотрудника технического отдела, который по совместительству еще иногда исполняет обязанности сисадмина. Он удалил некоторые программы, которые я не использую, но проблему это решить не помогло.
       
      После этого я установила Чистилку: https://chistilka.com/
       
      Утилита пометила файл ecf00c38dc807e105d881c433a6b455dd2c606b6, который находится в C:\ProgramData, как подозрительный. Увы, для продолжения работы программа требует платной подписки, поэтому дальше я ничего с этим файлом сделать не могу. Решила погуглить, что это за файл, но так и не поняла, является ли он действительно вредоносным или нет, удалять его пока не стала.
       
      Логи, первую и последнюю проверку AdwCleaner прикрепляю к теме.
       
      Надеюсь, что Ваши специалисты помогут мне наконец решить проблему.
       
      Заранее большое спасибо!
      CollectionLog-2019.02.12-12.04.zip
      AdwCleanerS05.txt
      AdwCleanerS00.txt
×
×
  • Создать...