Приветствую и здравия, добрые господа!
Похоже майнер завелся. В бездействии жрет 25-30% от 8ми ядерника.
Открываю диспетчер задач или process explorer - по нулям.
Магия какая-то)
Printable View
Приветствую и здравия, добрые господа!
Похоже майнер завелся. В бездействии жрет 25-30% от 8ми ядерника.
Открываю диспетчер задач или process explorer - по нулям.
Магия какая-то)
Уважаемый(ая) [B]Valirius2[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
unload %Sys32%\DIALER.EXE
ICSUSPEND
sreg
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Trojan.Miner.164 [DrWeb] 7
chklst
delvir
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408522843&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408616467&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.3_0\X-FINDER. SEARCH
delref %SystemDrive%\PROGRAM FILES\CCLEANER\CCUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref %SystemRoot%\SETUP\SCRIPTS
delref %Sys32%\TASKS\DRIVER BOOSTER SKIPUAC (USER)
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref %SystemDrive%\PROGRAM FILES\ULTA\MULLVAD-SPLIT-TUNNEL.SYS
delref %Sys32%\DRIVERS\WACOMVKHID.SYS
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
areg
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
[B]UVS [/B]
Не может сохранить реестр. Сразу после запуска команды - что-то делает, потом пытается реестр сохранить и залипает на этом.
Пишет:
[QUOTE]Процесс сохранения реестра может занять несколько минут...
c:\uvs_regback\virtualize[/QUOTE]
Активности софта и компа нет. Пробовал ждать 30 минут - тот же результат. Выключение проги через диспетчер задач приводит к BSOD. Так что только рестарт.
Как бы её запустить так, чтобы она реестр не пыталась сохранить? Или оно нужно зачем-то?
[B]FRST[/B]
При этом FRST сохраняет реестр без проблем...
Прицепил его лог. Правда без проработки UVS, ибо она не хочет работать ((
В FRST будем только дочищать, нужен будет новый лог после UVS. Майнер весьма живучий. поэтому надо было чистить с виртуализацией реестра.
Другой скрипт выполните, попробуем прибить без неё:[CODE];uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
unload %Sys32%\DIALER.EXE
ICSUSPEND
zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Trojan.Miner.164 [DrWeb] 7
chklst
delvir
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408522843&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408616467&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.3_0\X-FINDER. SEARCH
delref %SystemDrive%\PROGRAM FILES\CCLEANER\CCUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
delref %Sys32%\TASKS\DRIVER BOOSTER SKIPUAC (USER)
delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
delref %SystemDrive%\PROGRAM FILES\ULTA\MULLVAD-SPLIT-TUNNEL.SYS
delref %Sys32%\DRIVERS\WACOMVKHID.SYS
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
apply
restart[/CODE]
После перезагрузки приложите лог выполнения скрипта. и сделайте новый лог FRST.
Нде, так ловлю BSOD "Critical Process DIED"... Походу таки винду переставлять надо
Попробуйте в безопасном режиме, должно получиться.
В безопасном режиме получилось.
Вроде перестало жрать проц. Новый лог от FRST
[QUOTE]AV: Windows Defender (Disabled - Up to date)[/QUOTE]Сами отключали?
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [ASRock A-Tuning] => [X]
HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [ASRockRuefi] => [X]
HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [AF_uuid_2139460] => d1557adf-7356-40a6-8438-23630cb03bb6 (Нет файла)
HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [AF_counter_2139460] => 12 (Нет файла)
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://mail.ru/cnt/7993/","www.google.com","hxxp://mail.ru/cnt/10445?gp=811036","hxxps://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`,qtjhjlhlih [0]
AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4528]
FirewallRules: [{FFE21813-2330-466F-AB58-2066361A30E6}] => (Allow) C:\Users\user\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
FirewallRules: [{F544335B-BF9D-46CC-8B95-E820E63FF685}] => (Allow) C:\Users\user\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
FirewallRules: [{EF81D2E8-9D06-44CF-8FD4-C6115B86DAD7}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{D8F9E116-2816-46FF-B30F-4E5C8A541829}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{2DFCB5C6-EE5B-480C-8FA8-117721DD99F8}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{CECF0B29-13C0-4590-A9B7-8D936D6B577B}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{10D9DE16-97F4-4B2E-BC7C-70D90A875610}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{559DC4BE-4950-4511-9C73-12A6BE654530}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
FirewallRules: [{346947D5-B1CD-4759-99EC-E047202A2FA9}] => (Allow) D:\Загрузки\Test_uTorrent_1.8.2\Test uTorrent 1.8.2\uTorrent.exe => Нет файла
FirewallRules: [{B7521642-5AD0-4F87-834B-8E8C180C29AA}] => (Allow) D:\Загрузки\Test_uTorrent_1.8.2\Test uTorrent 1.8.2\uTorrent.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
del /s /q C:\Windows\Minidump\*.dmp >nul
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Файлик прицепляю.
Еще хотел написать, что
Vvvyg, ты гениален! Я бы самостоятельно винду переставлял и софт настраивал несколько часов к ряду.
Это талантище и дико мощная мотивация!
Ты уже несколько лет тут помогаешь народу. Это даже не талант это божественное проведение и ангельский характер. Желаю тебе, чтобы у тебя всё было офигенно с твоей семьей, много любви, счастья, радости от жизни, деньги приходили под запросы, а желания изменять и улучшать свою жизнь сыпались как из рога изобилия. Спасибо тебе огромное за твои знания и усидчивость))
А и по дефендеру. Он наверное со сборкой винды выключен был. Думаешь он прям поможет если что?
Мне тут в каком-то другом форуме написали, что хорошо бы выйти из админской учетки и сидеть на юзерской. А общем не знаю. Есть советы какие-то для ламеров, как защитить себя от криптографов, шифраторов (это самое страшное для меня) и других трояно-вирусов?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Еще хотел спросить про благодарность. Как-то можно тебя отблагодарить на счет куда-то? Или как у вас тут всё устроено в этом плане?
[QUOTE=Valirius2;1532504]Ты уже несколько лет тут помогаешь народу.[/QUOTE]
Уже лет 11 :wink:
[QUOTE=Valirius2;1532504]Это даже не талант это божественное проведение и ангельский характер.[/QUOTE]
Скорее, привычка...
[QUOTE=Valirius2;1532504]Желаю тебе, чтобы у тебя всё было офигенно с твоей семьей, много любви, счастья, радости от жизни, деньги приходили под запросы, а желания изменять и улучшать свою жизнь сыпались как из рога изобилия. Спасибо тебе огромное за твои знания и усидчивость))[/QUOTE]
Спасибо :beer:
[QUOTE=Valirius2;1532504]А и по дефендеру. Он наверное со сборкой винды выключен был. Думаешь он прям поможет если что?[/QUOTE]
По крайней мере, этот [URL="https://www.virustotal.com/gui/file/428e9c1e33a37c2362dbe5930ffa92ec079d7b12b3648695651bdaf5a438955d"]конкретный майнер [/URL]он знает давно. Правда, общеизвестно, чтобы запустить кряк, патч, активатор, надо обязательно отключить антивирус, он же реагирует на такие безобидные программы :>
[QUOTE=Valirius2;1532504]Мне тут в каком-то другом форуме написали, что хорошо бы выйти из админской учетки и сидеть на юзерской.[/QUOTE]
Неплохо бы, но любые действия, требующие прав администратора повлекут запрос учёттных данных админа, ввод пароля - и дальше что угодно - установка зловреда в т. ч.
[QUOTE=Valirius2;1532504]Есть советы какие-то для ламеров, как защитить себя от криптографов, шифраторов (это самое страшное для меня) и других трояно-вирусов?[/QUOTE] Если коротко - зпускать, устанавливать программы только из проверенных источников. Торрент-тракеры к таковым не относятся ;) Позже чуть подробнее напишу.
Попробуем восстановить Защитник + ещё надо проверить подозрительную папку.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Folder: C:\Windows\Setup\Scripts
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\Setup\Scripts"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Рекомендации, которые позволят снизить риск внедрения троянов в систему:
Держать систему, браузеры, MS Office, Java обновлёнными.
Использовать антивирус, включённый и обновлённый, хотя бы бесплатный. Ни один антивирус на 100% не защитит от зловреда, он может быть новым и отсутствовать в базах, может быть подписан валидной цифровой подписью, а эвристический анализатор и эмулятор выполнения антивируса не распознают опасный код. Тем не менее, наличие правильно настроенного антивируса сильно повышает уровень безопасности.
Программы нужно скачивать с сайта производителя, а не по ссылкам с форумов, вконтакте и с торрентов. Не нужно искать программу - нарвётесь на поддельный "комплексный инсталлятор" с рекламными функциями (в лучшем случае), или на майнер/шифровальщик, у большинства популярных программ есть официальные сайты.
Используйте, по возможности, лицензионный софт (в т. ч. вместо взломанных платных программ - бесплатные аналоги), это реально ведёт к большей защищенности. Постоянный поиск ключей, кряков, патчей, модов, репаков и т. п. обязательно приведёт к тому, что словите какую-нибудь дрянь, сейчас хакеры уже не альтруистичны и монетизируют свой труд как могут.
Шифровальщик может загрузиться и запуститься даже при открытии специально сформированного документа Word, PDF-файла или просто при посещении веб-страницы с вирусным кодом. Именно поэтому система, MS Office, браузеры, продукты Adobe всегда должны быть обновлёнными, это снижает вероятность подобных атак, но не даёт, опять-таки, полной гарантии безопасности - могут использоваться т. н. [URL="https://ru.wikipedia.org/wiki/Уязвимость_нулевого_дня"]уязвимости нулевого дня[/URL], не исправленные производителем программы (или вообще ему неизвестные пока).