[РЕШЕНО] WM tools core service

[7an4os]

Добрый день.

 

Столкнулся с майнером WM, сначала процесс wm3dservice.exe, затем что-то вроде wmbnm.exe, загружали процессор на 100%, после проверки и лечения через KVRT, появился WMareHostOpen.exe, после повторной проверки появился ServiceHub.CRL.x64.exe, который делает то же самое.

 

.

Заранее благодарю за помощь.

[7an4os]

CollectionLog-2020.08.25-23.14.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Деинсталлируйте через установка и удаление программ:

 

Malwarebytes
McAfee Security Scan Plus 
Кнопка "Яндекс" на панели задач
Менеджер браузеров 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 SetServiceStart('MBAMSvc', 4);
 DeleteService('MBAMSvc');
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis:

 

O4 - HKCU\..\Run: [yaoffer50160] = C:\Users\Олег\AppData\Local\yaoffer50160\yaoffer50160.exe --start --client:50160
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

Сделайте новые логи Автологгером. 
 

[7an4os]

Сделал

 

CollectionLog-2020.08.26-10.08.zip

[mike 1]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[7an4os]

Addition.txt

[mike 1]

Второго отчета не вижу. 

[7an4os]

FRST.txt

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

   CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
   CreateRestorePoint:
   CloseProcesses:
   HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {02191870-2df4-11e6-8ab3-806e6f6e6963} - E:\installer.exe
   HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {2b0da385-1fe4-11e7-91e5-e8039ac1f36d} - C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe /auto
   HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {673fca8c-eda4-11e6-96fe-b888e33d8a62} - C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe /auto
   Task: {8554472F-A83C-4458-8510-30F3F445B6A3} - \System_update -> No File <==== ATTENTION
   Task: {AC52E8E9-564D-479F-BCF7-ECA1639A82DA} - \System_service -> No File <==== ATTENTION
   Task: {E13BF96E-EDAC-45EE-A341-83CA7B6C2A7A} - \KMSAuto -> No File <==== ATTENTION
   Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
   Toolbar: HKU\S-1-5-21-1700432918-3854783703-3770895441-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
   Toolbar: HKU\S-1-5-21-1700432918-3854783703-3770895441-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
   C:\Users\Олег\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea
   U1 aswbdisk; no ImagePath
   2020-08-14 11:20 - 2020-08-14 11:42 - 000153312 _____ (Malwarebytes) C:\windows\system32\Drivers\mbae64.sys
   2020-08-14 11:19 - 2020-08-14 11:19 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
   2020-08-14 11:19 - 2020-08-14 11:19 - 000000000 ____D C:\ProgramData\Malwarebytes
   2020-08-14 11:16 - 2020-08-14 11:16 - 000000000 ____D C:\Program Files\Malwarebytes
   2020-07-29 07:38 - 2020-08-26 09:40 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
   2020-07-29 07:38 - 2020-08-26 09:40 - 000000258 __RSH C:\ProgramData\ntuser.pol
   2020-07-15 08:34 - 2020-08-26 09:52 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
   FirewallRules: [{A665FCC2-8CA9-4B26-B2B7-0ADB038AAF22}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
   FirewallRules: [{988CB7FE-E2D3-4A49-851B-FF6EF3D3EFAE}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File

    

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Изменено 27 августа, 2020 пользователем mike 1

[mike 1]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".