Снова подцепил майнер

Printable View

11.05.2016, 15:34
Aspir

Снова подцепил майнер

свхост грузит систему на 25 процентов , все [URL="http://virusinfo.info/showthread.php?t=196985"]то же самое[/URL] , куча разных файлов с названиями вроде litecoin-reaper , bitcoin и тд в папке windows . На этот раз только ничем они ловиться не хотят. антивирь стоит каспер лиценз. правда endpoint 10 то есть корпоративный может в этом проблема ? Хочу понять как это прекратить .
11.05.2016, 15:35
Info_bot

Уважаемый(ая) [B]Aspir[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
11.05.2016, 17:22
regist

Логи сделаны версией 4.45. Скачайте [URL="http://z-oleg.com/avz4.zip"]актуальную версию AVZ: 4.46[/URL], обновите базы и переделайте логи.

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.
11.05.2016, 18:16
Aspir

[url]http://virusinfo.info/virusdetector/report.php?md5=51E853C6B88F7DCADD8AAE55B13D2B2C[/url]
Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.
11.05.2016, 20:15
regist

[quote="Aspir;1380522"]Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.[/quote]разумеется влияет. В списке процессов я его уже не увижу.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]
11.05.2016, 20:48
Aspir

Переделал с запущенным майнером) [url]http://virusinfo.info/virusdetector/report.php?md5=0834E1DE76153B18385AB66D34B80199[/url]
11.05.2016, 23:00
regist

Skype Click to Call - советую деинсталируйте.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url]
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\AD-AWARE\AD-AWAREADMIN.EXE
delref %SystemRoot%\CONHOST.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\\BIN64\INSTALLMANAGERAPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAPLESTUDIO\CHROMEPLUS\APPLICATION\2.0.9.20\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref HTTP://SAFESEARCHR.LAVASOFT.COM/?SOURCE=3336CA5F&TBP=RBOX&TOOLBARID=ADAWARETB&U=F3A560463B501866EABE7E5093C50977&Q={SEARCHTERMS}
delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&UTF8IN=1&FR=IETB
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\KEINKHGNLCKANELLOHDLLEJMHIPFOCMI.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LBHLPGHMMKKNFALANFIMBFJLLLIANMDJ.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\JDNCIIHJAKPBHINLGNMAFKLMNGKCCEBP.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ADALMAMKNLBMFAKLDKGANAJLOCNKKGFF.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\BGEAKJMFKNNCPPBMGKKFBGLNODCCDECP.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\HBPOHBEFLIEIBMCMOHDNHFKIGFMKMFGD.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\IHNGDFJNOMKOONICFBLFFINANGFAFEPK.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LMKELJMLECJKAKKEKFEBMHMAHHHFLONF.CRX
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\RAR$EXA0.629\RABIT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\ГОСТЬ\DESKTOP\JAVAW.EXE
delref %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\PLUGINS\EXTENSION_0_1_0_4.CRX
restart[/CODE]
сделайте свежий образ автозапуска.
11.05.2016, 23:30
Aspir

:):):)
14.05.2016, 12:00
Aspir

Сегодня утром прошёлся по пк cclener и auslogics , смотрю а майнер опять заработал ( . сввхост его связан с двумя еще процессами taskeng.exe. Все файлы майнеров так и остались в папке окон .
14.05.2016, 12:13
regist

[quote="Aspir;1381105"]сввхост его связан с двумя еще процессами taskeng.exe[/quote]
это системные процессы.
Что с проблемой?
14.05.2016, 14:40
Aspir

Осталась проблема , вот утром он опять запустил свхост с 25% на систему. Эти файлы не могут быть причиной ? [URL=http://radikal.ru/big/2df2c19caf2749d085f80989c5cfab30][IMG]http://s015.radikal.ru/i331/1605/bb/617f39df39b7.jpg[/IMG][/URL]
14.05.2016, 15:31
regist

[quote="Aspir;1381146"]Эти файлы не могут быть причиной ?[/quote]
да, удалите их.
И там видно cpu1.exe проверьте его [url]https://virustotal.com/[/url] ссылку на отчёт оставьте здесь.
Сделайте свежий лог uVS.
14.05.2016, 20:57
Aspir

[url]https://virustotal.com/ru/file/83a8dd7213021025fa382ec9d32eaebf35273a0043b377e67d74701e1a95443f/analysis/1463244209/[/url]

И вот еще один exe оттуда проверил тоже оказался майнерским

[url]https://virustotal.com/ru/file/1e010c9c3e0bf19c7e9a4c16d66d90993d3fe513d2bd2beba7b5d277db36bd30/analysis/1463247911/[/url]

вот что я удалил в итоге
[IMG]http://s019.radikal.ru/i610/1605/b9/a10596367667.jpg[/IMG]
вот так сейчас выглядит папка окна
[IMG]http://i023.radikal.ru/1605/49/e390a8051ed9.jpg[/IMG]
14.05.2016, 21:09
regist

[quote="Aspir;1381239"]https://virustotal.com/ru/file/83a8d...is/1463244209/

И вот еще один exe оттуда проверил тоже оказался майнерским

[url]https://virustotal.com/ru/file/1e010...is/1463247911/[/url][/quote]
по обоим ссылкам антивирусам особо верить не надо, возможно фолсы.
Пришлите эти файлы в карантин согласно [URL="http://virusinfo.info/pravila.html"][B]Приложения 2[/B] правил[/URL] по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+ - Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]
15.05.2016, 01:09
Aspir

Карантин залил
15.05.2016, 08:46
regist

Dont Starve - это как понимаю вам знакомо?
Со своими кряками разбирайтесь сами.
Что с проблемой?
15.05.2016, 12:18
Aspir

[QUOTE=regist;1381303]Dont Starve - это как понимаю вам знакомо?
Со своими кряками разбирайтесь сами.
Что с проблемой?[/QUOTE]

Решена, спасибо за помощь.
15.05.2016, 14:09
regist

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]
16.05.2016, 23:45
Aspir

Поиск критических уязвимостей
Накопительное обновление безопасности для браузера Internet Explorer
UAC (контроль учётных записей) отключён.
Обнаружено уязвимостей: 2

всего то . А зачем мбам удалять , он вроде довольно эффективен, кстати стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?
17.05.2016, 09:05
regist

[quote="Aspir;1381756"]А зачем мбам удалять , он вроде довольно эффективен[/quote]
1) Очень много фолсов, в том числе и на системные файлы.
2) Конфликтует с другим ПО.

[quote="Aspir;1381756"]стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?[/quote]
это довольно интимный вопрос и каждый сам должен решать. Но я бы не стал отказываться.
17.05.2016, 09:15
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]