Появился майнер VMware, vm3dservice.exe

[Elderly]

Появился два дня назад, вечером. Съедает он 50% ЦП и почти всю оперативную память.

Я не первый с этой проблемой, так что не вижу смысла расписывать.

CollectionLog-2020.08.16-16.11.zip

Изменено 16 августа, 2020 пользователем Elderly

[thyrex]

Цитата

Malwarebytes [20200810]-->"C:\Program Files (x86)\Malwarebytes\unins000.exe"

Игровой центр [2020/04/12 15:46:45]-->"C:\Users\User\AppData\Local\GameCenter\GameCenter.exe" -uninstall

удалите через Установку программ.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('MBAMSvc', 4);
 TerminateProcessByName('c:\programdata\vmware\vmware tools\vm3dservice.exe');
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 QuarantineFile('c:\programdata\vmware\vmware tools\vm3dservice.exe','');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
 DeleteFile('c:\programdata\vmware\vmware tools\vm3dservice.exe','32');
 DeleteFile('C:\Program Files (x86)\Malwarebytes\Qt5Core.dll','32');
 DeleteFile('C:\Program Files (x86)\Malwarebytes\Qt5Help.dll','32');
 DeleteFile('C:\Program Files (x86)\Malwarebytes\Qt5WinExtras.dll','32');
 DeleteService('MBAMSvc');
 DeleteSchedulerTask('OneTime_149');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Elderly]

Новые логи.

После скрипта майнер пропал, оперативно вышло.

CollectionLog-2020.08.16-16.47.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[TimTimych]

та же самая проблема. можно сюда скинуть логи, дабы не создавать еще одну такую тему?

[Sandor]

Никак нет, создавайте свою тему.

[Elderly]

FRST addition.zip Вот

Изменено 17 августа, 2020 пользователем Elderly

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {080409c9-77b9-11ea-b54d-b870f4a954a3} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {abd01311-8f61-11ea-b577-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {c007b3d3-9673-11ea-b57d-d0df9a12e0bb} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {db8f8d5d-8abb-11ea-b573-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {db8f8e1b-8abb-11ea-b573-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {db8f8e8e-8abb-11ea-b573-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {db8f8ef6-8abb-11ea-b573-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\...\MountPoints2: {db8f8fe4-8abb-11ea-b573-b870f4a954a3} - "D:\Install MegaFon Internet.exe" 
GroupPolicy: Restriction - Windows Defender <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-670436385-2027523582-2983105675-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2020-08-14 18:18 - 2020-08-14 18:18 - 000000000 ____D C:\Users\Все пользователи\VMware
2020-08-14 18:18 - 2020-08-14 18:18 - 000000000 ____D C:\ProgramData\VMware
2020-08-10 17:05 - 2020-08-16 16:38 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
FirewallRules: [{5EA67089-4E99-460D-9341-7A11DAF9DA1E}] => (Allow) D:\bin\tools\aria2c.exe => No File
FirewallRules: [{93369CB0-9C46-459F-B6E6-60B4643A013D}] => (Allow) C:\Users\User\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{A09BDBD3-8034-4CC5-85A7-6BC6D50BAF91}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
FirewallRules: [{002FEE66-47D2-4E01-8156-4204CCFC3ACB}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Elderly]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

[Elderly]

18.08.2020 в 01:19, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

 

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 20.08.2020 13:22:41
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 7.78is-13.08.2020
___________________________________________________________________________

Windows 10(6.3.15063) (x64) Professional Версия: 1703 Lang: Russian(0419)
Дата установки ОС: 03.04.2020 08:37:54
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 250860 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Срок истечения многопользовательской активации: 250860 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\User\AppData\Local\Programs\Opera\Launcher.exe
Системный диск: ? ФС: [NTFS] Емкость: [698.1 Гб] Занято: [313.5 Гб] Свободно: [384.6 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.540.15063.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
Автоматическое обновление отключено
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (отключен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (отключен)
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
Microsoft OneDrive v.17.3.6816.0313
Zoom v.4.6 Внимание! Скачать обновления
Python 3.8.3 (32-bit) v.3.8.3150.0 Внимание! Скачать обновления
Steam v.2.10.91.91
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Discord v.0.0.306 Внимание! Скачать обновления
Skype, версия 8.58 v.8.58 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 70.0.3728.106 v.70.0.3728.106
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\Windows Defender\MSASCuiL.exe v.4.11.15063.0
Антивирусная программа "Защитника Windows" (WinDefend) - Служба остановлена
Служба проверки сети Windows Defender Antivirus (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

[thyrex]

Установите рекомендованные обновления, и на этом закончим.