Перейти к содержанию
Правила раздела

[РЕШЕНО] VMware Service core

Emil Sarymsakov

Автор Emil Sarymsakov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Emil Sarymsakov

Emil Sarymsakov

Опубликовано
Опубликовано (изменено)

Доброго времени суток. Сегодня обнаружил, что в диспетчере задач сидит процесс VMware Service Core и очень сильно грузит систему. Почитав данный форум, уже стало ясно, что это майнер. Прошу помочь удалить.

CollectionLog-2020.08.16-12.58.zip

Изменено пользователем Emil Sarymsakov
thyrex

thyrex

Опубликовано
Опубликовано
Цитата

Malwarebytes [20200809]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MBAMSvc', 4);
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
 DeleteService('MBAMSvc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке
move.gif
3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a12627-347&t=4","hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a12834-347&t=4","hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a13350-347&t=4","hxxp://mail.ru/cnt/10445"
2020-08-16 12:34 - 2020-08-16 12:34 - 000000000 ____D C:\ProgramData\VMware
2020-08-09 20:56 - 2020-08-16 13:27 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
FirewallRules: [{62C023B4-C278-49F9-BC53-76B7C8523B06}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
FirewallRules: [{5FF59D42-E4F3-40E1-8412-AF53AE254055}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
     
Emil Sarymsakov

Emil Sarymsakov

Опубликовано
  • Автор
Опубликовано

Да, решена!

Я вас благодарю.

Вы помогаете людям - это очень ценно!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Emil Sarymsakov

Emil Sarymsakov

Опубликовано
  • Автор
Опубликовано
Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 16.08.2020 14:19:05
Path starting: C:\Users\Zulya\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Zulya
VersionXML: 7.78is-13.08.2020
___________________________________________________________________________

Windows 10(6.3.18363) (x64) Professional Release: 1909 Lang: English(0409)
Installation date OS: 23.03.2020 08:10:41
LicenseStatus: Windows(R), Professional edition Volume activation will expire : 95222 minutes
LicenseStatus: Office 16, Office16ProPlusVL_KMS_Client edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
SystemDrive: ? FS: [NTFS] Capacity: [222.3 Gb] Used: [61 Gb] Free: [161.3 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1016.18362.0 [+]
User Account Control enabled (Level 3)
Центр обеспечения безопасности (wscsvc) - The service is running
Удаленный реестр (RemoteRegistry) - The service has stopped
Обнаружение SSDP (SSDPSRV) - The service has stopped
Службы удаленных рабочих столов (TermService) - The service has stopped
Служба удаленного управления Windows (WS-Management) (WinRM) - The service has stopped
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x64 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (enabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (enabled and up to date)
--------------------------- [ OtherUtilities ] ----------------------------
Backup and Sync from Google v.3.50.3166.0017
Microsoft OneDrive v.20.124.0621.0006
Zoom v.5.1 Warning! Download Update
Foxit Reader v.10.0.0.35798 Warning! Download Update
KeePass Password Safe 2.45 v.2.45
K-Lite Mega Codec Pack 11.5.5 v.11.5.5 Warning! Download Update
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Warning! Download Update
Uninstall old version and install new one.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.2.2031.4 Warning! Download Update
Telegram Desktop version 2.2 v.2.2
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45724 Warning! P2P-client.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.414
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 79.0 (x64 ru) v.79.0
Opera Stable 69.0.3686.95 v.69.0.3686.95 Warning! Download Update
Yandex v.20.7.3.100 Warning! Download Update
Google Chrome v.84.0.4147.125
Microsoft Edge v.84.0.522.59
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2007.8-0\MsMpEng.exe v.4.18.2007.8
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2007.8-0\NisSrv.exe v.4.18.2007.8
Антивирусная программа "Защитника Windows" (WinDefend) - The service is running
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - The service is running
----------------------------- [ End of Log ] ------------------------------
 

 

thyrex

thyrex

Опубликовано
Опубликовано

Установите рекомендуемые обновления программ и на этом закончим.

Emil Sarymsakov

Emil Sarymsakov

Опубликовано
  • Автор
Опубликовано

Так и делаю.

Благодарю еще раз.

Всего самого доброго вам!

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
×
×
  • Создать...