Перейти к содержанию
Правила раздела

Вирус майнер VID001

uropek

Автор uropek
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Знакома ли вам? 

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)



HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

O4 - HKCU\..\Run: [AdopeUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O4-32 - HKLM\..\Run: [JavaUpdate] = C:\GoogleChrome\GoogleUpdate.lnk
O22 - Task (.job): (Not scheduled) {69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34}.job - C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5128FBE8-3139-414F-B75F-1B954C56AA81} - \{69A8FFAB-2B0B-ED0C-1A45-7FEF08712F34} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8CBA33FE-4284-4166-8260-C454497F6C21} - \Microsoft LocalManager[c599c6ee-efe9-4133-9aab-7435685d54b7] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C8B512BE-C54E-48A4-85DB-88C7D13F9A67} - \Microsoft LocalManager[7b7c15f9-747a-455f-9ba5-f521dde4252d] (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WPD (empty)

 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано

HiJackThis (из каталога autologger) профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

O4 - Startup: C:\Users\Перинатальный_центр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\search.cmd    ->    (PE EXE)


 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1734145176-637486657-1783376301-1000\...\MountPoints2: {45127a22-bf5b-11eb-84b6-d050997b8634} - 华为手机助手安装向导.exe
File: C:\Program Files (x86)\bookingDesktopApp\Update\bookingDesktopAppUpdate.exe
File: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose\updtask.exe
Folder: C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
Folder: C:\ProgramData\{26409738-2640-2640-264097384645}
Folder: C:\ProgramData\{73327183-7332-7332-733271837694}
Folder: C:\ProgramData\{10300881-1030-1030-103008811873}
Folder: C:\ProgramData\{26937804-2693-2693-269378040593}
Folder: C:\ProgramData\{63659752-6365-6365-636597522421}
Folder: C:\ProgramData\{02276950-0227-0227-022769507118}
Folder: C:\ProgramData\{62922031-6292-6292-629220312271}
Folder: C:\ProgramData\{82417856-8241-8241-824178566851}
2022-03-10 12:17 - 2016-01-13 14:46 - 000000000 _____ C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
CMD: type C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
Folder: C:\ProgramData\{99308141-9930-9930-993081414012}
Folder: C:\ProgramData\{09139200-0913-0913-091392005617}
Folder: C:\MozillaFirefox
Folder: C:\GoogleChrome
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на комментарий
Поделиться на другие сайты
SQ

SQ

Опубликовано
Опубликовано
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код:: 
    Start::
CreateRestorePoint:
CloseProcesses:
C:\MozillaFirefox
C:\GoogleChrome
C:\Users\Перинатальный_центр\AppData\Roaming\temp.cmd
C:\Users\Перинатальный_центр\AppData\Local\Todufekafose
C:\ProgramData\{26409738-2640-2640-264097384645}
C:\ProgramData\{73327183-7332-7332-733271837694}
C:\ProgramData\{10300881-1030-1030-103008811873}
C:\ProgramData\{26937804-2693-2693-269378040593}
C:\ProgramData\{63659752-6365-6365-636597522421}
C:\ProgramData\{02276950-0227-0227-022769507118}
C:\ProgramData\{62922031-6292-6292-629220312271}
C:\ProgramData\{82417856-8241-8241-824178566851}
C:\ProgramData\{99308141-9930-9930-993081414012}
C:\ProgramData\{09139200-0913-0913-091392005617}
End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.

 

 

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','');
 QuarantineFile('D:\Photo.scr','');
 DeleteFile('D:\$RECYCLE.BIN\ S-1-5-21-1734145176-637486657-1783376301-1000.scr','32');
 DeleteFile('D:\Photo.scr','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
×
×
  • Создать...