Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

Скрытый вирус-майнер

Амир_7

Автор Амир_7,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Амир_7

Амир_7 0

Опубликовано
Опубликовано

Здравствуйте, несколько месяцев назад процессор начал загружаться на 20%, при открытии диспетчера задач нагрузка моментально пропадала. С помощью программы AnVir я выяснил, какой процесс нагружает систему(Точно не уверен, но он назывался "Notepad.exe"). Я попытался сам найти решение проблемы, но ничего не вышло. Однако процесс на протяжении месяца данный процесс не проявлял активности и я забыл про него. Но сегодня уже появился скрытый процесс с названием "calc.exe" и нагружал процессор на 25% в течении 30 минут и пока не проявляет активности. И теперь я не знаю, это тот же самый вирус, или их у меня теперь два.

CollectionLog-2022.04.07-03.10.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Амир\AppData\Roaming\Microsoft\DrfragSvc\Patch0829\DefragSvc.dll', '');
 QuarantineFileF('C:\Users\Амир\AppData\Roaming\Microsoft\DrfragSvc\Patch0829\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteSchedulerTask('Windows11Build_22489');
 DeleteFile('C:\Users\Амир\AppData\Roaming\Microsoft\DrfragSvc\Patch0829\DefragSvc.dll', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Это не страшно.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Web Companion

 

Далее:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1618160610-1171444990-2581520023-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [8442464 2020-12-15] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-1618160610-1171444990-2581520023-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{4C5D78D6-CEDF-4700-8FA4-31A51E2CB0F0}] => (Allow) LPort=32682
FirewallRules: [{C71A4F9B-026B-44A7-BF38-3DA79B41927E}] => (Allow) LPort=32682
FirewallRules: [{323C001E-6AA2-4B82-9A21-8949AA07BE3D}] => (Allow) LPort=26822
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

Хорошо. Сделаем проверку уязвимых мест и устаревшего критического ПО:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 280

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security для Windows v.11.5.0.590 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.24.0.126 v.3.24.0.126 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
WinRAR 6.02 (32-bit) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Zoom v.5.6.7 (1016) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 271 (64-bit) v.8.0.2710.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u321-windows-x64.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Creative Cloud v.3.9.0.327 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.91 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

Ссылка на сообщение
Поделиться на другие сайты
Амир_7

Амир_7 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте, проблема не исчезла, снова появился процесс calc.exe, грузит на 25%

 

UPD: Я сделал логи и решил посмотреть их. Там было помечено жёлтым "regsvr32.exe /s C:\Users\Амир\AppData\Roaming\Microsoft\win64\userbin64\u64.dll". Когда я нашел путь к указанному файлу "u64.dll" и просто клацнул по нему, процесс calc.exe внезапно исчез. Такое ощущение, что этот вирус перемещается от файла к файлу.

 

UPD2: Спустя некоторое время файл u64.dll исчез вовсе, я его не удалял, и антивирус тоже не трогал его. Может быть это бред, но как будто бы моим компьютером удалённо завладели и пытаются модифицировать и прятать этот майнер-вирус.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • BSss
      Проблема (?) вирус
      От BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
    • largin
      Вирус Скайп?
      От largin
      https://www.youtube.com/watch?v=iPFnfoG30Nc?si=N9GOLz9qlVlSAef6 ( это что происходит) 
      Я не могу посмотреть расположение файла, что уже подозрительно, недавно открыл диспетчер задач и от этого скайпа был открыт файл dllhost.exe, который был расположен в SysWOW64 и когда я возвращался в диспетчер задач, то он пропадал, у меня скачан Kaspersky free, но он ничего в нём не находит, хотя комп стал работать медленнее( год назад я скачивал шейдеры на Майнкрафт, возможно там был Майнер, так как ФПС упал на 40%)

    • Павел_22R
      Словил майнер
      От Павел_22R
      Включаю компьютер, запускается виндоус. При попытки открыть какое либо приложение идет бесконечная загрузка. При попытке открыть виндоус в безопасном режиме ничего не происходит. Через настройки очистить диски начинается бесконечная подготовка к форматированию
    • advan
      Очень скрытный Майнер
      От advan
      Сначала закрывал страничку. Смена браузера не помогла, переходил на 8.8.8.8. Установил AVbr, все равно до конца не удалил. Он даже заражает телефоны. При подключении телефона к компу телефон заражает комп. Скорее всего ещё и роутер заражает. Помогите. Закрывает окно explorer с путём C:\Users\User\AppData\Local\Microsoft\Windows\History\Больше недели назад
    • temw
      [РЕШЕНО] майнер john
      От temw
      доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
      мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
      ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
      upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 
      AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip
×
×
  • Создать...