[РЕШЕНО] VMware майнер бот

[SergeyLp]

Столкнулся с майнером VMware core tool servers , нашел этот файл C/ProgramData/VMware , удалил после перезагрузки он появился,сильно грузит систему.Удаял его в ручную теперь он не дает себя удалить , нет прав доступа не могу его ограничить , только диспетчером задач не дать ему работать,устанавливать сторонние софты побоялся из-за ещё большего риска , Dr.Web.Curret не дал результатов.Можно ещё помочь или нужно переустановить виндовс?

[thyrex]

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.
 

[Sandor]

Если обычная версия не запустится, соберите отчёты этой версией Автологера.

[SergeyLp]

Спасибо за быстрый ответ,вот файл с логами и скриншоты вируса в диспетчере ,также скриншот того что не могу удалить этот файл.

CollectionLog-2020.08.12-06.59.zip

[Sandor]

Из двух антивирусов оставьте один, другой удалите.

Цитата

360 Total Security

Avast Free Antivirus

 

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

 

adaware antivirus

AntimalwareEngine

Avast Cleanup Premium

Chromium

Malwarebytes

MarketApp 2.0.13

MediaGet

uBar

Кнопка "Яндекс" на панели задач

 

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[SergeyLp]

Не нашел файл который нужно вам отправить,программа нашла 650 объектов ,после перезагрузки майнер до сих пор работает

[Sandor]

Ладно.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[SergeyLp]

пожалуйста

FRST.txt Addition.txt

[Sandor]

Malwarebytes version 4.1.2.73 - вы только что установили что ли?

Деинсталлируйте, пожалуйста, и до окончания лечения не предпринимайте самостоятельных шагов. Это только усложняет.

 

После деинсталляции переделайте отчеты FRST.txt и Addition.txt 

[SergeyLp]

Выполнил,извиняюсь за ошибку  ,вот файлы

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  () [File not signed] C:\Users\1663\AppData\Local\Temp\Rar$EXa1396.41519\Unlocker_Portable_1.9.5\App\Unlocker\UnlockerAssistant.exe
  (Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
  (Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMWsc.exe
  (PortableAppZ.blogspot.com) [File not signed] [File is in use] C:\Users\1663\AppData\Local\Temp\Rar$EXa1396.41519\Unlocker_Portable_1.9.5\UnlockerPortable.exe
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-124123017-1464472609-235527383-1001\...\MountPoints2: {68887a61-6293-11e9-ac66-806e6f6e6963} - "D:\Autorun.exe" 
  HKU\S-1-5-21-124123017-1464472609-235527383-1001\...\MountPoints2: {a7e93414-0d2c-11ea-ad2c-38d547b3a6cc} - "D:\HiSuiteDownLoader.exe" 
  GroupPolicy: Restriction - Windows Defender <==== ATTENTION
  FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  C:\Users\1663\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  
  R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
  S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X]
  2020-08-12 07:45 - 2020-08-12 07:45 - 000000000 ____D C:\Users\1663\AppData\Local\mbam
  2020-08-12 07:44 - 2020-08-12 07:44 - 000216056 ____N (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
  2020-08-11 06:52 - 2020-08-11 06:52 - 000000000 ____D C:\ProgramData\VMware
  2020-08-03 17:08 - 2020-08-03 17:08 - 000000000 ____D C:\Program Files\Malwarebytes
  2020-07-27 16:59 - 2020-08-12 07:29 - 000000000 __SHD C:\$360Section
  2020-07-16 00:48 - 2020-07-16 00:48 - 000000000 ____D C:\Users\1663\AppData\Roaming\360DrvMgr
  2020-07-14 21:55 - 2020-07-14 21:55 - 000000000 ____D C:\Windows\Tasks\360Disabled
  2020-07-14 21:48 - 2020-08-12 08:19 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
  2020-07-14 15:58 - 2020-08-12 08:18 - 000000000 ____D C:\Program Files (x86)\360
  2020-08-12 08:18 - 2020-03-31 17:20 - 000000000 ____D C:\ProgramData\uBar
  AV: Malwarebytes (Disabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
  AlternateDataStreams: C:\Users\1663\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\1663\Application Data:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\1663\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\1663\ntuser.ini:NTV [8966]
  AlternateDataStreams: C:\Users\1663\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\1663\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
  AlternateDataStreams: C:\Users\1663\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
  AlternateDataStreams: C:\Users\1663\AppData\Local\Temp:$DATA [16]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
  Hosts:
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[SergeyLp]

Вирус не запустился после перезагрузки ,вот файл

Fixlog.txt

[Sandor]

Хорошо.

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[SergeyLp]

Вот файл,спасибо за быстрый ответ

SecurityCheck.txt

Изменено 12 августа, 2020 пользователем SergeyLp

[Sandor]

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Zoom v.5.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-bit) v.5.71.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
TunnelBear v.3.7.10.2 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45608 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 69.0.3686.95 v.69.0.3686.95 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex Sovetnik v.3.1.16.48 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.84.0.4147.89 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
 

 

Читайте Рекомендации после удаления вредоносного ПО