Перейти к содержанию

Меняются DNS, возможно майнер


Рекомендуемые сообщения

Добрый день!

На виртуальной машине стали самопроизвольно меняться адреса DNS, большая нагрузка на процессор.

Kaspersky Security 11 для Windows Server находит вредоносные объекты, которые после удаления появляются опять. (во вложении)

Kaspersky Removal Tool ничего не нашёл.

Файл протоколов во вложении.

AK1205.txt CollectionLog-2021.05.12-09.59.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, временно выгрузите антивирус и прочее защитное ПО. 

 

Выполните скрипт в AVZ (используйте версию из папки Автологгера)

 

begin
 DeleteSchedulerTask('3hCWZXeqLD\sZe17zmr');
 DeleteSchedulerTask('87nVjGWEow');
 DeleteSchedulerTask('Microsoft\Windows\49L8bqskKCN\WRrc4EveXAj');
 DeleteSchedulerTask('Microsoft\Windows\ri2lex8N0HG\byG2cAmi3ZY');
 DeleteSchedulerTask('nsoeR3a64l');
 DeleteSchedulerTask('pf72N9KYm\aAw2XPp');
 DeleteSchedulerTask('TMVS6ynOY');
 DeleteSchedulerTask('YfjWq5C8psi');
 DeleteSchedulerTask('{31DDBD37-5DB7-4030-8064-10B0CAA806C3}');
ExecuteSysClean;
end.

 

Перезагрузите сервер. 

 

Сделайте новые логи Автологгером. 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png

Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    SystemRestore: ON
    CreateRestorePoint:
    Task: {1AB8D173-FB5A-486F-B0A6-684B2D9E371F} - System32\Tasks\t.qq8.ag => t.qq8.ag
    Task: {4659E8D5-5C37-4595-8813-47AED038CCC5} - System32\Tasks\Avira_Security_Installation => C:\Users\administrator.MSK\AppData\Local\Temp\1\.CR.5203\avira_ru_sptl1_179449426-1620718187__dwndws.exe <==== ATTENTION
    Task: {9C6FA32D-F5D1-4CBB-93C7-4954880FAF98} - System32\Tasks\t.ntele.net => t.ntele.net
    Task: {A2C5C9DB-AE31-4129-A2C2-5E9236A252DE} - System32\Tasks\blackball => blackball
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"c9P8uyiqk\"",Filter="__EventFilter.Name=\"f9P8uyiqk\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cTeF9byY3Wf\"",Filter="__EventFilter.Name=\"fTeF9byY3Wf\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cwCMQ8zAnGP\"",Filter="__EventFilter.Name=\"fwCMQ8zAnGP\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"chlAOy2WZMk\"",Filter="__EventFilter.Name=\"fhlAOy2WZMk\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"cNIAO1hKC4\"",Filter="__EventFilter.Name=\"fNIAO1hKC4\"::
    WMI:subscription\__EventFilter->blackball::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->fNIAO1hKC4::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->t.ntele.net::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->f9P8uyiqk::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->fTeF9byY3Wf::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->fhlAOy2WZMk::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->fwCMQ8zAnGP::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->t.qq8.ag::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 3600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']

     

  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От bxz1ngx
      Помогите устранить эту проблему,пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из "Технический раздел".
    • От denis146888
      Недавно на ноутбуке обнаружил Майнер, через Касперский удалить не получается, вылезает после каждой перезагрузки. Логи прикрепил.
      CollectionLog-2021.09.10-00.32.zip
    • От Dreal
      Начал тормозить ПК, при открытии диспетчера задач нагрузка на ЦП и ГПУ падает до нормы. Через некоторое время диспетчер задач самостоятельно закрывается.
      Проверка KVRT нашла майнер, удалил. Теперь вылазит окно

      CollectionLog-2021.09.05-12.32.zip report_2021.09.05_11.24.38.klr.rar
    • От ЖанЖан
      Добрый день, на момент начала событий на компьютере стояла не обновляемая с примерно 2018, ввиду обстоятельств в интернет я выхожу с 4g модема который перестал определяться после обновления, поэтому я откатил его. версия windows 10 и бесплатная версия Касперского. 
      Где-то в начале июля этого года Касперский неожиданно завис и перестал отвечать на любые действия, помогла только перезагрузка на тот момент я не предал этому значения, но через пару дней обнаружил что на видеокарту появляется нагрузка до максимума даже в простое, я выполнил полную проверку антивирусом и он ничего не выявил, тогда я скачал пробную версию KIS, которая стоит на компьютере на данный момент, и сделал ещё одну проверку с ним, он опять ничего не нашёл, но я обнаружил в контроле программ незнакомые мне программы, тогда я скачал Cureit доктора веба который нашёл на компьютере майнер биткоинов и некую программу wasp.exe или вроде того, которые были им же удалены. После чего я обнаружил что в исключениях касперского папки где располагались вирусы были в исключениях. Я сбросил настройки антивируса до стандартных и вроде проблема пропала. С тех пор компьютер не использовался около месяца.
      Сейчас я заменил 4g модем на пару 4g роутер + адаптер wi-fi,( адаптер, mercusys mu6h роутер обычный мтс из салона кроме пк к нему подключены только мобильные телефоны в доме, если это важно), и скачал все доступные мне обновления виндовса, но после последнего обновления касперский с завидной периодичностью стал сообщать о сетевых атаках.
      Отчет касперского и логи в прикреплённом, проверка Cureit'а сделанная час назад ничего не выявила.
      Хотелось бы решить проблему сетевых атак, понять не связаны ли они с предыдущим заражением  и не осталось ли в системе следов от вируса которые надо устранить.
      Спасибо и прошу прощения если описание слишком развёрнутое.
      лог касперского.txt CollectionLog-2021.08.15-14.09.zip
    • От kostyan2008
      Открыв диспетчер задач, нагрузка на процессор выдает 90%, и вмиг спускается на 10-15. Компьютер подтормаживает при работе. Создается впечатление, что на компьютере скрытый майнер.
      CollectionLog-2021.08.13-22.48.zip
×
×
  • Создать...