Перейти к содержанию

[РЕШЕНО] Удаление возможного майнера с пк


Рекомендуемые сообщения

Здравствуйте. Жил, не тужил, но на днях чуть не взломали вк (несколько попыток входа)

 

Подумал утекли пароли, стал чистить систему. Утилита Kaspersky Removal Tool нашла из серьёзного HEUR:Trojan:Script:Generic в кэше хрома. Удалил.

 

В этот же момент быстрая проверка MicrosoftDefender нашла Trojan:Linux/CoinMiner.O!MTB (файл "system") в папке C\Program Files\qemu\ 
Этот файл поместился в карантин без проблем.

 

А вот Kaspersky Removal Tool нашёл так же в этой папке файлик SystemServices.exe. Определяется как Trojan.Win64.Miner.aljx

 

Пытался удалить, но после удаления, не запускается компьютер. Помог откат. Компьютер запускается, но файл на прежнем месте.

 

Не знаю, как удалить, и стоит ли удалять.
qemu, я так понимаю, установлен у меня из-за того, что когда-то устанавливал Xamarin из VisualStudio - может для эмулирования андройда эта программа установилась.

В процессах служба SystemServices.exe отключена. По ресурсам ничего не грузит. Нагрузка CPU в норме. Не знаю, нужно ли с этим что-то делать? Вирус? Или ложное срабатывание?

 

Ссылка на сообщение
Поделиться на другие сайты

Вот что происходило на момент сканирования.
MediaGet и ProcessHacker оставил
 

image.thumb.png.a72efdc29d0e32d7ee942b8ffc74a2c2.png

 

После этого система перестала загружаться. Помог откат, файл восстановился.

 

Вот что сейчас в реестре по этому значению:
image.thumb.png.700a1d3a8e5c5097685d9bf52c6a7dfc.png


Сканирование Malwarebytes выдаёт и предлагает то же самое. 
image.thumb.png.46ebeed95604f224ee0321ae3a73bc76.png

 

Система и CPU вроде в норме:
image.png.3df1c805e9b69aeaa03b6c3f88575d5c.png
 


image.thumb.png.bb19fa612ef55df5a7b7a748b56970b0.png

 

image.thumb.png.045afc0fd618f0de54f7be8798cf109c.png

 

Думаю, стоит сказать, что я убрал галочку автозапуска для SystemService.exe (Изначально стояла, но я не замечал, чтобы компьютер глючил)

 

image.png.27c37c42b6c8d63950d5ceb7cdaeb4c3.png

 

Если это системная служба, то что она делает в папке qemu?

 

 

Буду благодарен за любую помощь

 

 

Вот, кстати, что сделал MicrosoftDefender во время сканирования Касперским.


image.png.ee7bcd0eb20ecf6144fc923f60f25228.png
 

Изменено пользователем КириллС
Добавил скриншотов
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

MediaGet удалите через Установку программ

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Task: {DD8E3C96-C721-4029-B43C-4CFA65324B8B} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:55B41E6A [140]
File: C:\Program Files\qemu\SystemServices.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Готово. 

Перезагрузка, которая началась после скрипта, почему-то зависла и оказалась бесконечной. Подождал какое-то время и перезагрузил принудительно. Вот логи:

Fixlog.txt 


PS. может это стоит внимания - винда у меня стоит нелицензионная, приходится раз в пару месяцев активировать с помощью KMS, чтобы не мешала надпись. Может это влияет. Спасибо за помощь. Жду дальнейших рекомендаций

Изменено пользователем КириллС
Ссылка на сообщение
Поделиться на другие сайты

Попробуйте загрузить систему в безопасном режиме, загрузить C:\Program Files\qemu\SystemServices.exe для проверки на virustotal.com и прислать ссылку на результат проверки.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
S4 SystemServices; C:\Program Files\qemu\SystemServices.exe [122368 2020-01-08] (Access Denied)  [File not signed] <==== ATTENTION
C:\Program Files\qemu\SystemServices.exe
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txt

 

Файла на прежнем месте больше нет! Система перезагрузилась нормально и работает! Кажется, работа завершена? Что это - правда был вирус? Почему тогда не грузилась система? 

Могу ли я считать эту угрозу устранённой?

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, КириллС сказал:

Что это - правда был вирус? Почему тогда не грузилась система? 

Вирус. Видимо при удалении не очищались записи о службе, что и приводило к проблеме с загрузкой.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
Цитата

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 04.02.2021 13:23:21
Path starting: C:\Users\Kis\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Kis
VersionXML: 8.51is-03.02.2021
___________________________________________________________________________

Windows 10(6.3.19042) (x64) CoreSingleLanguage Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 16.10.2020 13:46:24
Статус лицензии: Windows(R), Core edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: 😄 ФС: [NTFS] Емкость: [118.2 Гб] Занято: [105.1 Гб] Свободно: [13.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.630.19041.0
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления
Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039
-------------------------- [ SecurityUtilities ] --------------------------
Process Hacker 2.39 (r124) v.2.39.0.124
Eraser 6.2.0.2991 v.6.2.2991
Kaspersky Anti-Ransomware Tool for Home v.3.0.1.3039
--------------------------- [ OtherUtilities ] ----------------------------
Git version 2.21.0 v.2.21.0 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления
Backup and Sync from Google v.3.54.3529.0458
Node.js v.14.15.1 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления
Microsoft OneDrive v.20.201.1005.0009
Microsoft Visual Studio Code (User) v.1.52.1
Python 3.9.0 (64-bit) v.3.9.150.0 Внимание! Скачать обновления
Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 16.02 (x64) v.16.02 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.20 (64-разрядная) v.5.20.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
XnView 2.49.2 v.2.49.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309
Zoom v.5.4.6 (59296.1207) Внимание! Скачать обновления
Viber v.13.3.1.21 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^
Java SE Development Kit 8 Update 181 (64-bit) v.8.0.1810.13 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe).
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.146
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\MsMpEng.exe v.4.18.2011.6
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2011.6-0\NisSrv.exe v.4.18.2011.6
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
fastback Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
UmmyVideoDownloader v.1.10.10.4 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------
 

 

Ссылка на сообщение
Поделиться на другие сайты

Выполните рекомендации из лога SecurityCheck по обновлениям программ и удалению нежелательных программ, и на этом закончим.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...