[РЕШЕНО] VMware Service core

[Emil Sarymsakov]

Доброго времени суток. Сегодня обнаружил, что в диспетчере задач сидит процесс VMware Service Core и очень сильно грузит систему. Почитав данный форум, уже стало ясно, что это майнер. Прошу помочь удалить.

CollectionLog-2020.08.16-12.58.zip

Изменено 16 августа, 2020 пользователем Emil Sarymsakov

[thyrex]

Цитата

Malwarebytes [20200809]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MBAMSvc', 4);
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
 DeleteService('MBAMSvc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
4. Прикрепите этот отчет к своему следующему сообщению.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Emil Sarymsakov]

ClearLNK-2020.08.16_13.31.24.log CollectionLog-2020.08.16-13.36.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Emil Sarymsakov]

Analys FRST64.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
CHR StartupUrls: Default -> "hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a12627-347&t=4","hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a12834-347&t=4","hxxp://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a13350-347&t=4","hxxp://mail.ru/cnt/10445"
2020-08-16 12:34 - 2020-08-16 12:34 - 000000000 ____D C:\ProgramData\VMware
2020-08-09 20:56 - 2020-08-16 13:27 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
FirewallRules: [{62C023B4-C278-49F9-BC53-76B7C8523B06}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
FirewallRules: [{5FF59D42-E4F3-40E1-8412-AF53AE254055}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
   

[Emil Sarymsakov]

Fixlog.txt

[thyrex]

Проблема решена?

[Emil Sarymsakov]

Да, решена!

Я вас благодарю.

Вы помогаете людям - это очень ценно!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Emil Sarymsakov]

Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 16.08.2020 14:19:05
Path starting: C:\Users\Zulya\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Zulya
VersionXML: 7.78is-13.08.2020
___________________________________________________________________________

Windows 10(6.3.18363) (x64) Professional Release: 1909 Lang: English(0409)
Installation date OS: 23.03.2020 08:10:41
LicenseStatus: Windows(R), Professional edition Volume activation will expire : 95222 minutes
LicenseStatus: Office 16, Office16ProPlusVL_KMS_Client edition Windows is in Notification mode
Boot Mode: Normal
Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
SystemDrive: ? FS: [NTFS] Capacity: [222.3 Gb] Used: [61 Gb] Free: [161.3 Gb]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1016.18362.0 [+]
User Account Control enabled (Level 3)
Центр обеспечения безопасности (wscsvc) - The service is running
Удаленный реестр (RemoteRegistry) - The service has stopped
Обнаружение SSDP (SSDPSRV) - The service has stopped
Службы удаленных рабочих столов (TermService) - The service has stopped
Служба удаленного управления Windows (WS-Management) (WinRM) - The service has stopped
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x64 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (enabled and up to date)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - The service is running
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (enabled and up to date)
--------------------------- [ OtherUtilities ] ----------------------------
Backup and Sync from Google v.3.50.3166.0017
Microsoft OneDrive v.20.124.0621.0006
Zoom v.5.1 Warning! Download Update
Foxit Reader v.10.0.0.35798 Warning! Download Update
KeePass Password Safe 2.45 v.2.45
K-Lite Mega Codec Pack 11.5.5 v.11.5.5 Warning! Download Update
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Warning! Download Update
Uninstall old version and install new one.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Warning! Download Update
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.2.2031.4 Warning! Download Update
Telegram Desktop version 2.2 v.2.2
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45724 Warning! P2P-client.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 NPAPI v.32.0.0.414
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 79.0 (x64 ru) v.79.0
Opera Stable 69.0.3686.95 v.69.0.3686.95 Warning! Download Update
Yandex v.20.7.3.100 Warning! Download Update
Google Chrome v.84.0.4147.125
Microsoft Edge v.84.0.522.59
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2007.8-0\MsMpEng.exe v.4.18.2007.8
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2007.8-0\NisSrv.exe v.4.18.2007.8
Антивирусная программа "Защитника Windows" (WinDefend) - The service is running
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - The service is running
----------------------------- [ End of Log ] ------------------------------
 

 

[thyrex]

Установите рекомендуемые обновления программ и на этом закончим.

[Emil Sarymsakov]

Так и делаю.

Благодарю еще раз.

Всего самого доброго вам!

[thyrex]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".