Перейти к содержанию
Правила раздела

[РЕШЕНО] WM tools core service

7an4os

Автор 7an4os
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

7an4os

7an4os

Опубликовано
Опубликовано

Добрый день.

 

Столкнулся с майнером WM, сначала процесс wm3dservice.exe, затем что-то вроде wmbnm.exe, загружали процессор на 100%, после проверки и лечения через KVRT, появился WMareHostOpen.exe, после повторной проверки появился ServiceHub.CRL.x64.exe, который делает то же самое.

 

.

Заранее благодарю за помощь.

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Деинсталлируйте через установка и удаление программ:

  

Malwarebytes
McAfee Security Scan Plus 
Кнопка "Яндекс" на панели задач
Менеджер браузеров

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
 SetServiceStart('MBAMSvc', 4);
 DeleteService('MBAMSvc');
 TerminateProcessByName('c:\program files (x86)\malwarebytes\mbam.exe');
 DeleteFile('c:\program files (x86)\malwarebytes\mbam.exe','32');
ExecuteSysClean;
RebootWindows(true);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis:

  

O4 - HKCU\..\Run: [yaoffer50160] = C:\Users\Олег\AppData\Local\yaoffer50160\yaoffer50160.exe --start --client:50160
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

 

Сделайте новые логи Автологгером. 
 

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано (изменено)

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: 
    CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {02191870-2df4-11e6-8ab3-806e6f6e6963} - E:\installer.exe
HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {2b0da385-1fe4-11e7-91e5-e8039ac1f36d} - C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe /auto
HKU\S-1-5-21-1700432918-3854783703-3770895441-1000\...\MountPoints2: {673fca8c-eda4-11e6-96fe-b888e33d8a62} - C:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL E:\autorun.exe /auto
Task: {8554472F-A83C-4458-8510-30F3F445B6A3} - \System_update -> No File <==== ATTENTION
Task: {AC52E8E9-564D-479F-BCF7-ECA1639A82DA} - \System_service -> No File <==== ATTENTION
Task: {E13BF96E-EDAC-45EE-A341-83CA7B6C2A7A} - \KMSAuto -> No File <==== ATTENTION
Toolbar: HKU\.DEFAULT -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-1700432918-3854783703-3770895441-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
Toolbar: HKU\S-1-5-21-1700432918-3854783703-3770895441-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
C:\Users\Олег\AppData\Local\Google\Chrome\User Data\Default\Extensions\jjckigopagkhaikodedjnmbccfpnmiea
U1 aswbdisk; no ImagePath
2020-08-14 11:20 - 2020-08-14 11:42 - 000153312 _____ (Malwarebytes) C:\windows\system32\Drivers\mbae64.sys
2020-08-14 11:19 - 2020-08-14 11:19 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
2020-08-14 11:19 - 2020-08-14 11:19 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-08-14 11:16 - 2020-08-14 11:16 - 000000000 ____D C:\Program Files\Malwarebytes
2020-07-29 07:38 - 2020-08-26 09:40 - 000000258 __RSH C:\Users\Все пользователи\ntuser.pol
2020-07-29 07:38 - 2020-08-26 09:40 - 000000258 __RSH C:\ProgramData\ntuser.pol
2020-07-15 08:34 - 2020-08-26 09:52 - 000000000 ____D C:\Program Files (x86)\Malwarebytes
FirewallRules: [{A665FCC2-8CA9-4B26-B2B7-0ADB038AAF22}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File
FirewallRules: [{988CB7FE-E2D3-4A49-851B-FF6EF3D3EFAE}] => (Allow) C:\Program Files (x86)\Malwarebytes\mbam.exe => No File

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
  • 3 недели спустя...
mike 1

mike 1

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DrRybkin
      [РЕШЕНО] Поймал Trojan.Packed2.49814
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • wekai
      [РЕШЕНО] Майнер XMRig
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • seiqwi0o
      [РЕШЕНО] TrojanDownloader:Win64/Rugmi!rfn
      Автор seiqwi0o
      Здравствуйте! Скачал зип архив для установки лаунчера игры, неоднократно запускал Setup.exe от имени администратора, ничего не происходило, затем пришло уведомление от антивируса.
      Через пару дней была попытка увести телеграмм (активная сессия с моего декстопа, но из другой страны и с другим названием устройства/пользователя). Запаниковал, удалил браузеры кроме еджа, не знаю зря ли.
      Вирус, обнаруженный дефендером при установке:

      В результате первого сканирования KVRT был обнаружен и вылечен: 
      После второго сканирования:

      Все удалось удалить, после перезагрузки ПК никаких обнаружений.
      Скажите, пожалуйста, компьютер до сих пор уязвим, нужно предпринять еще какие-то меры?
      CollectionLog-2025.08.02-01.22.zip
×
×
  • Создать...