[РЕШЕНО] VMware майнер бот

11 августа, 2020

Столкнулся с майнером VMware core tool servers , нашел этот файл C/ProgramData/VMware , удалил после перезагрузки он появился,сильно грузит систему.Удаял его в ручную теперь он не дает себя удалить , нет прав доступа не могу его ограничить , только диспетчером задач не дать ему работать,устанавливать сторонние софты побоялся из-за ещё большего риска , Dr.Web.Curret не дал результатов.Можно ещё помочь или нужно переустановить виндовс?

12 августа, 2020

Здравствуйте.
Порядок оформления запроса о помощи.
Логи прикрепите к следующему сообщению в данной теме.

12 августа, 2020

Если обычная версия не запустится, соберите отчёты этой версией Автологера.

12 августа, 2020

Спасибо за быстрый ответ,вот файл с логами и скриншоты вируса в диспетчере ,также скриншот того что не могу удалить этот файл.

CollectionLog-2020.08.12-06.59.zip

12 августа, 2020

Из двух антивирусов оставьте один, другой удалите.

Цитата

360 Total Security

Avast Free Antivirus

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

adaware antivirus

AntimalwareEngine

Avast Cleanup Premium

Chromium

Malwarebytes

MarketApp 2.0.13

MediaGet

uBar

Кнопка "Яндекс" на панели задач

Далее:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

12 августа, 2020

Не нашел файл который нужно вам отправить,программа нашла 650 объектов ,после перезагрузки майнер до сих пор работает

12 августа, 2020

Ладно.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

12 августа, 2020

пожалуйста

FRST.txt Addition.txt

12 августа, 2020

Malwarebytes version 4.1.2.73 - вы только что установили что ли?

Деинсталлируйте, пожалуйста, и до окончания лечения не предпринимайте самостоятельных шагов. Это только усложняет.

После деинсталляции переделайте отчеты FRST.txt и Addition.txt

12 августа, 2020

Выполнил,извиняюсь за ошибку ,вот файлы

FRST.txt Addition.txt

12 августа, 2020

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CreateRestorePoint:

() [File not signed] C:\Users\1663\AppData\Local\Temp\Rar$EXa1396.41519\Unlocker_Portable_1.9.5\App\Unlocker\UnlockerAssistant.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files (x86)\Malwarebytes\mbam.exe
(Malwarebytes Inc -> Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMWsc.exe
(PortableAppZ.blogspot.com) [File not signed] [File is in use] C:\Users\1663\AppData\Local\Temp\Rar$EXa1396.41519\Unlocker_Portable_1.9.5\UnlockerPortable.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-124123017-1464472609-235527383-1001\...\MountPoints2: {68887a61-6293-11e9-ac66-806e6f6e6963} - "D:\Autorun.exe" 
HKU\S-1-5-21-124123017-1464472609-235527383-1001\...\MountPoints2: {a7e93414-0d2c-11ea-ad2c-38d547b3a6cc} - "D:\HiSuiteDownLoader.exe" 
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Users\1663\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec

R2 MBAMSvc; C:\Program Files (x86)\Malwarebytes\mbam.exe [16028840 2020-06-14] (Malwarebytes Inc -> Malwarebytes)
S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X]
2020-08-12 07:45 - 2020-08-12 07:45 - 000000000 ____D C:\Users\1663\AppData\Local\mbam
2020-08-12 07:44 - 2020-08-12 07:44 - 000216056 ____N (Malwarebytes) C:\Windows\system32\Drivers\MbamChameleon.sys
2020-08-11 06:52 - 2020-08-11 06:52 - 000000000 ____D C:\ProgramData\VMware
2020-08-03 17:08 - 2020-08-03 17:08 - 000000000 ____D C:\Program Files\Malwarebytes
2020-07-27 16:59 - 2020-08-12 07:29 - 000000000 __SHD C:\$360Section
2020-07-16 00:48 - 2020-07-16 00:48 - 000000000 ____D C:\Users\1663\AppData\Roaming\360DrvMgr
2020-07-14 21:55 - 2020-07-14 21:55 - 000000000 ____D C:\Windows\Tasks\360Disabled
2020-07-14 21:48 - 2020-08-12 08:19 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
2020-07-14 15:58 - 2020-08-12 08:18 - 000000000 ____D C:\Program Files (x86)\360
2020-08-12 08:18 - 2020-03-31 17:20 - 000000000 ____D C:\ProgramData\uBar
AV: Malwarebytes (Disabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
AlternateDataStreams: C:\Users\1663\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\1663\Application Data:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\1663\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\1663\ntuser.ini:NTV [8966]
AlternateDataStreams: C:\Users\1663\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\1663\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\1663\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
AlternateDataStreams: C:\Users\1663\AppData\Local\Temp:$DATA [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
Hosts:
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

12 августа, 2020

Вирус не запустился после перезагрузки ,вот файл

Fixlog.txt

12 августа, 2020

Хорошо.

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

12 августа, 2020

Вот файл,спасибо за быстрый ответ

SecurityCheck.txt

Изменено 12 августа, 2020 пользователем SergeyLp

12 августа, 2020

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Zoom v.5.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.71 (64-bit) v.5.71.0 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
TunnelBear v.3.7.10.2 Внимание! Это приложение может отображать рекламу на посещаемых страницах.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45608 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 211 v.8.0.2110.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Opera Stable 69.0.3686.95 v.69.0.3686.95 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex Sovetnik v.3.1.16.48 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.84.0.4147.89 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Читайте Рекомендации после удаления вредоносного ПО

[РЕШЕНО] VMware майнер бот

Рекомендуемые сообщения

SergeyLp

thyrex

Sandor

SergeyLp

Sandor

SergeyLp

Sandor

SergeyLp

Sandor

SergeyLp

Sandor

SergeyLp

Sandor

SergeyLp

Sandor

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum