Перейти к содержанию

Поймал майнер с навзванием PuzzleMedia.


Рекомендуемые сообщения

CollectionLog-2021.09.30-15.48.zip Нагружает процессор до 100% пока диспетчер задач не работает,после открытия сразу же вырубается

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
33 минуты назад, Mark D. Pearlstone сказал:

Так лучше?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте нижнюю форму быстрого ответа.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '');
 DeleteSchedulerTask('AdwCleaner_onReboot');
 DeleteSchedulerTask('puzzleCheck_ZN');
 DeleteSchedulerTask('UDLUpdater');
 DeleteFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 


Прикрепите к следующему сообщению свежий CollectionLog.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
41 минуту назад, Sandor сказал:

Здравствуйте!

 

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте нижнюю форму быстрого ответа.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '');
 DeleteSchedulerTask('AdwCleaner_onReboot');
 DeleteSchedulerTask('puzzleCheck_ZN');
 DeleteSchedulerTask('UDLUpdater');
 DeleteFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 


Прикрепите к следующему сообщению свежий CollectionLog.
 

Если что-то опять не так процитировал,извиняюсь.Я не особо сижу на форумах

CollectionLog-2021.09.30-18.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Вот поле, о котором я говорил:

image.thumb.png.1ec56731581c929629a60bab16567a04.png

 

Логи выглядят значительно лучше.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Дочистим кое-какой мусор.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {18d23b6d-1093-11eb-9806-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {289d69db-4aba-11eb-9817-1c1b0dff3a66} - "G:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {4a33dbac-8e1f-11ea-97d7-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {54dcb512-2033-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {54dcb52d-2033-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {69d41c01-f5c6-11ea-97ff-1c1b0dff3a66} - "G:\Setup.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {7241a8c6-26be-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {8ec95d77-7641-11ea-97c2-1c1b0dff3a66} - "E:\Setup.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {e70369f4-412a-11eb-9812-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {2D8A7010-1810-4E44-A6F6-1B41DAA50EF5} - \puzzleCheck_L0 -> Нет файла <==== ВНИМАНИЕ
    Task: {2D962FCE-2DC2-4067-8938-25B008E3329B} - System32\Tasks\NoAdsLogonUpdate => C:\Users\Jojo\AppData\Local\Programs\NoAds\upd.exe [1685220 2021-08-21] (NoAds) [Файл не подписан]
    Task: {3D04EE9D-F361-45FF-B920-5AEAB193DD26} - \puzzleCheck_ZN -> Нет файла <==== ВНИМАНИЕ
    Task: {7973FEB7-1207-4CE6-B3A8-83F076729F08} - \puzzleCheck_Wk -> Нет файла <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    AlternateDataStreams: C:\Users\Jojo\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Jojo\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490]
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{24D47E8C-14CD-4A5B-89B9-D11BC3D598E1}] => (Allow) C:\Users\Jojo\AppData\Roaming\wsappx.exe => Нет файла
    FirewallRules: [{D86DA239-9C6C-4E46-91B3-92F2DEB517B0}] => (Allow) C:\Users\Jojo\AppData\Roaming\wsappx.exe => Нет файла
    FirewallRules: [{A63F1D4A-8A36-47E8-A399-61A2231B8BB4}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{50644D63-1160-4245-B6F4-8C3CD5AA9AE3}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{E2B28B18-FD27-477B-8458-2AD9819FA4C3}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{A400349E-1F68-4E79-8B7A-CE86F34B9AB0}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{A41EC987-216B-4396-8AF6-5483F734FB23}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{5C7AD4FA-49C2-4F39-B29D-17D606125891}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{61A4B707-5A74-41AE-8DD1-F7A93FC1B443}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{9D6ABA85-3B76-4690-A0AA-65C94E099137}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{7953BFE2-07D1-4776-A80B-FAB797D02F82}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{4B2D7ABD-8CB3-41E8-99E2-76B37ACAB497}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{06F834D1-8491-4609-B1A7-FA1602917CEC}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{A1195E6D-00A0-47D6-BAE9-B1734EEFD2B6}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{554C127B-3077-4371-B9A3-902A18042268}] => (Allow) LPort=80
    FirewallRules: [{A09F72E2-7B82-49E0-B1C9-DA216AD4DFBD}] => (Allow) LPort=80
    FirewallRules: [{3A013A48-DAC7-4D3F-9A59-461F4A23C5BE}] => (Allow) LPort=443
    FirewallRules: [{C9C3F6D9-529B-4F8C-B6E8-8627D86A909C}] => (Allow) LPort=443
    FirewallRules: [{02E26886-DA00-4A3D-9507-B82C8610E199}] => (Allow) LPort=20010
    FirewallRules: [{22217F0A-0DA8-43EE-A5CC-B8DDD2CD79E2}] => (Allow) LPort=20010
    FirewallRules: [{B4B8D2AA-D29A-42D5-82B6-E9A4F774B7BD}] => (Allow) LPort=3478
    FirewallRules: [{4EE748E2-2B8A-4382-8DA1-5C4F0316925D}] => (Allow) LPort=3478
    FirewallRules: [{7CB2F4D9-AEE0-4783-BDA9-AE0879224533}] => (Allow) LPort=7850
    FirewallRules: [{35DCB905-91B5-4CF4-8945-2E82B47FD432}] => (Allow) LPort=7850
    FirewallRules: [{FDA14451-84A3-4E41-9EB9-1D1E3D5098B0}] => (Allow) LPort=7852
    FirewallRules: [{9E10AF0C-63D9-4E06-A396-0AA48BC2651D}] => (Allow) LPort=7852
    FirewallRules: [{EDB75823-250A-4B30-AE23-29324B9D17E7}] => (Allow) LPort=7853
    FirewallRules: [{078213CE-DA3D-4FBE-8F3D-3F121DF3B412}] => (Allow) LPort=7853
    FirewallRules: [{73E2B828-472C-4AC1-8859-F6FFF4DCFCAE}] => (Allow) LPort=27022
    FirewallRules: [{DF479E17-FBB9-44AE-91A9-A022F45575CB}] => (Allow) LPort=27022
    FirewallRules: [{42D1D334-EC57-477E-B8F9-09AC52EE5EE4}] => (Allow) LPort=6881
    FirewallRules: [{955822F1-B251-441C-8323-08FF7FF80BC3}] => (Allow) LPort=6881
    FirewallRules: [{18191398-1036-4EC5-8A67-7050D935E487}] => (Allow) LPort=33333
    FirewallRules: [{81BE79A1-3ABB-490F-86ED-A989C489DB8E}] => (Allow) LPort=33333
    FirewallRules: [{6ECC81BB-CD1D-45A9-8074-5C82761C3BC1}] => (Allow) LPort=20443
    FirewallRules: [{63BB8F24-5062-49A2-9316-2CD0BD94A4A9}] => (Allow) LPort=20443
    FirewallRules: [{29197414-42D4-43AF-9013-8A8A35C4C522}] => (Allow) LPort=8090
    FirewallRules: [{7BB612E8-E1F8-4805-AEE1-97BB17777CF6}] => (Allow) LPort=8090
    FirewallRules: [{06CDF48D-E896-4311-8119-8C3C2B43463B}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема решена, завершающие шаги:

 

1. Выполните процедуру, описанную на этой странице.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Phantom581
      Недавно я заметил что какая то программа сильно грузит мой процессор. Когда я открыл "диспетчер задач" я увидел на 2 секунды что процес под названием "Система прерывания" грузит мой компьютер а именно процессор на 100%, затем нагрузка на процессор резко понизилась а сам процесс исчез из моего поля зрения. Сам процесс не появляется и нагрузка на процессор не возникает пока открыт диспетчер задач, после закрытия "диспетчера задач" процесс появляется снова спустя некоторое время и начинает грузить мой пк. Проблем с драйверами точно нету.....
      Добрый люди пожалуйста помогите мне!
      Также забыл уточнить что я сканировал свой компьютер с помощью таких программ как Kaspersky Internet Security, Malwarebytes, HitmanPro. Программы вирус не нашли!
      CollectionLog-2021.10.20-17.54.zip
    • От DarDOne
      Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"
      CollectionLog-2021.10.17-03.47.zip
    • От OrionBlack
      На работе подключил свою флешку  к компу
      вернулся домой на флешке файлы MusaLLaT.exe
      Ozel Dosyalar.exe
      на компе не было антивирусника успел заразиться 
      вирус блокает диспетчер задач командную строку и редактор реестра 
      с помощью 
      Kaspersky Virus Removal Tool;
      реестр стал открываться пока правок не делал
      диспетчер всё так же в отключке 
      права администратора забрал себе вирусник CollectionLog-2021.10.14-19.12.zip
    • От Sophinator
      Добрый день!
       
      Заметила, что стал тупить ноутбук (MSI GF63), хотя раньше за ним такого не замечала никогда. Зависает, когда переношу файлы в проводнике, при пользовании Хромом и Microsoft Edge (я в нём PDF-файлы просматриваю). И меня заблокировали в некоторых социальных сетях, в которые я заходила через браузер. Решила проверить на вирусы, Microsoft Defender выявил 2 угрозы (вложения 1, 2). Торрент - оно понятно, телеграм раньше тоже считала, что ругается просто на приложение стороннее, но загуглила про Uwasson, отправила лечиться и удаляться. Телеграм вроде как работает.
      Скачала dr.web.cureit, прогнала им, ничего не нашёл вроде (файл под названием cureit.log во вложениях). Полезла в интернет, нашла этот форум, скачала malwarebytes, ещё и им прогнала (отчёт в файле .txt под названием virus). Нашёл ещё заражённый файл, но в интернете я ничего толкового понять не смогла, а расположение пугает.
       
      Логи собрала, файл также во вложениях.
       
      Буду рада помощи, а ещё больше буду рада, если мне скажут, что это всё ок и я паникёрша.
       
      Спасибо!
       


      CollectionLog-2021.10.01-09.11.zip virus.txt cureit.log
    • От 66668
      Здравствуйте, заметил странное поведение у своего ноутбука. После включения примерно через 3-5 минут начинают усиленно работать вентиляторы, комп уже тёплый (все приложения из автозагрузки закрыты), а при запуске диспетчера задач (ДЗ) на миг мелькает «100%» ЦП, а потом падает до около 5%. Но если закрыть ДЗ, то комп опять начинает усиленно работать. Уже сделал проверку через securitycheck, он злится на netshield 1.4.0.0 и netshield 1.4.0.1. Самое забавное, что браузер не давал открыть через ноут ни сайт Касперского, ни другие сайты с целью создания темы про вирусы. Постараюсь придумать способ сбросить логи из securitycheck.
×
×
  • Создать...