Здравствуйте и с наступившими вас праздниками! Где то подхватил такую дрянь как HostXmrig.exe помогите пожалуйста избавиться от него!?
Заранее очень вам благодарен!
Printable View
Здравствуйте и с наступившими вас праздниками! Где то подхватил такую дрянь как HostXmrig.exe помогите пожалуйста избавиться от него!?
Заранее очень вам благодарен!
Уважаемый(ая) [B]Kust67rus[/B], спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
В системе активен ещё и нашумевший шифровальщик WannaCry, спасает Ваши данные лишь то, что его управляющие сервера давно уничтожены. А всё потому, что боитесь обновлять систему, как бы хуже не было, а хуже может быть именно от дырявой системы. Скачайте и установите хотя бы это критическое обновление: MS17-010: Обновления безопасности для Windows SMB Server
[url]http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu[/url]
Сразу после [url="http://virusinfo.info/showthread.php?t=7239"]выполнения скрипт в AVZ[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\indus\browser.exe');
TerminateProcessByName('c:\programdata\temp1.exe');
TerminateProcessByName('c:\windows\hhsm\client.exe');
TerminateProcessByName('c:\windows\mssecsvc.exe');
StopService('mssecsvc2.0');
StopService('Rundll');
QuarantineFile('C:\Program Files (x86)\Windows Defender\MpEvMsg.dll', '');
QuarantineFile('c:\programdata\indus\browser.exe', '');
QuarantineFile('C:\ProgramData\indus\start.vbs', '');
QuarantineFile('C:\ProgramData\Rundll\exel.exe', '');
QuarantineFile('c:\programdata\temp1.exe', '');
QuarantineFile('c:\windows\hhsm\client.exe', '');
QuarantineFile('C:\Windows\min\HostXmrig.exe', '');
QuarantineFile('c:\windows\mssecsvc.exe', '');
DeleteFile('C:\Program Files (x86)\Windows Defender\MpEvMsg.dll', '32');
DeleteFile('c:\programdata\indus\browser.exe', '32');
DeleteFile('C:\ProgramData\indus\start.vbs', '32');
DeleteFile('C:\ProgramData\Rundll\exel.exe', '32');
DeleteFile('c:\programdata\temp1.exe', '32');
DeleteFile('c:\windows\hhsm\client.exe', '32');
DeleteFile('C:\Windows\min\HostXmrig.exe');
DeleteFile('c:\windows\mssecsvc.exe', '32');
DeleteService('mssecsvc2.0');
DeleteService('Rundll');
DeleteFileMask('c:\program files (x86)\windows defender', '*', true);
DeleteFileMask('c:\programdata\indus', '*', true);
DeleteFileMask('c:\programdata\rundll', '*', true);
DeleteFileMask('c:\windows\hhsm', '*', true);
DeleteFileMask('C:\Windows\min', '*', true);
DeleteDirectory('c:\program files (x86)\windows defender');
DeleteDirectory('c:\programdata\indus');
DeleteDirectory('c:\programdata\rundll');
DeleteDirectory('c:\windows\hhsm');
DeleteDirectory('C:\Windows\min');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'rundll32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме
[SIZE=3][COLOR=#000000]Сделал,как была написано выше,отправил вам КАРАНТИН,но после этого я немного не догоняю откуда и с какой программы нажать Scan?[/COLOR]
[/SIZE]
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).[/QUOTE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
А судя по другим темам я понял какая программа) Она [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL][COLOR=#333333] ?? Вот файлы [/COLOR]
Прошу прощения, недокопипастил :?
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2017-12-29 23:01 - 2018-01-07 01:34 - 011976154 _____ (indus ) C:\Windows\SysWOW64\setup.exe
2018-01-02 18:21 - 2017-10-14 17:27 - 003514368 ____S C:\Windows\qeriuwjhrf
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 [294]
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{02010D42-66F5-439A-A522-0553908A1988}_is1" /f /reg:32
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Всё сделано
[QUOTE]Internet Explorer 8.0.7601.17514 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color][/QUOTE] Установите Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.
[QUOTE]Запрос на повышение прав для администраторов [color=red][b]отключен[/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color][/QUOTE]Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.
[QUOTE][color=red][b]Автоматическое обновление отключено[/b][/color]
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба остановлена[/QUOTE]Чтобы не ловить зловреды через уязвимости системы, установите хотя бы критические обновления из этого списка. По хорошему система должна обновляться автоматически.[QUOTE]HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color]
HotFix KB4041678 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678]Скачать обновления[/url][/b][/color][/QUOTE]
Браузеры нужно держать обновлёнными:[QUOTE]Yandex v.17.11.0.2191 [color=red][b]Внимание! [url=http://browser.yandex.ru/?from=cont_spec]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color][/QUOTE]
[QUOTE]Кнопка "Яндекс" на панели задач v.2.0.0.2116 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Advanced SystemCare 10 v.10.5.0 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 3.4 v.3.4 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]Это я тоже рекомендую удалить.
И проблема решится? А обновления нужно устанавливать весь этот список что вы написали или что то одно? Тоесть установить все эти обновления, эксплелор и удалить эти программа которые вы указали и проблема решится?
Обновления из списка - все. Лучще - все доступные через автоматическое дополнение.
Проблема с вирусами решится, если выполнять несложные правила.
Держать систему, браузеры, MS Office, продукты Adobe, Java обновлёнными.
Использовать антивирус, включённый и обновлённый, хотя бы бесплатный. [URL="http://www.kaspersky.ru/free-antivirus"]Kaspersky Free[/URL] например.
Ни один антивирус на 100% не защитит от зловреда, он может быть новым и отсутствовать в базах, может быть подписан валидной цифровой подписью, а эвристический анализатор и эмулятор выполнения антивируса не распознают опасный код. Тем не менее, наличие правильно настроенного антивируса сильно повышает уровень безопасности.
Программы нужно скачивать с сайта производителя, а не по ссылкам с варезников, форумов, вконтакте и торрентов. Не нужно искать программу - нарвётесь на поддельный "комплексный инсталлятор" с рекламными функциями (в лучшем случае), или на шифровальщик, у большинства популярных программ есть официальные сайты, пользуйтесь приличными софтпорталами типа softodrom.ru - там, как правило, ссылки на чистые ресурсы.
Используйте, по возможности, лицензионный софт (в т. ч. вместо взломанных платных программ - бесплатные аналоги), это реально ведёт к большей защищенности. Постоянный поиск ключей, кряков, патчей, модов, репаков и т. п. обязательно приведёт к тому, что словите какую-нибудь дрянь, сейчас хакеры уже не альтруистичны и монетизируют свой труд как могут.
Извините за мою тупость,просто этот процесс как висит так и висит HostXmrig, мне каждую строчку с вашего списка обновления скачивать и устанавливать или воспользоваться своим автомотическим? И можно спросить какими чистищями программа вы пользуетесь и как устанавливать новые драйвера где их искать и когда ставить,обьясните пожалуйста новичку если вам не трудно
Прошу прощения. это я не понял сначала, что проблема вернулась и начал давать общие рекомендации.
Установите пока обновления из списка, вручную.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Сделано
Обновления, указанные выше, установили?
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[CODE];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
addsgn 925277CA226AC1CC0B14664EA34F0A891B8A8D389A0348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Trojan.Win32.Blouiroet.du [Kaspersky] 7
addsgn BA6F9BB2BD5949720B9C2D754C2164FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 Tool.BtcMine.1143 [DrWeb] 7
chklst
delvir
deldir %SystemRoot%\HHSM
deldir %SystemRoot%\MIN
delref %SystemRoot%\TEMP\GUR10C4.EXE
apply
cexec sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
cexec sc.exe config mrxsmb10 start= disabled
delnfr
deltmp
restart[/CODE]Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой.
Обновления поставил,в итоге у меня просто перестала запускаться винда, пришлось их всех откатить через систему восстановления! Вот лог
Значит, кривая сборка.
Проблема повторится? Понаблюдайте.
Сделайте лог [url=http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657]сканирования МВАМ.[/url]
Процесс всё равно возвращается,хрен пойми от куда. Вот вроде правильно сделал
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
вот
[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM[/url] всё найденное.
Если майнер вернётся - надо обновлять систему.
Эх я вас понял,спасибо ВАМ БОЛЬШОЕ за ваше потраченное время,делаете хорошие дела людям которые не понимают в этом! Можно задать вам пару вопросов которые мне очень помогу,где мне скачать хорошую 7семёрку чтобы её поставить,и как обновлять драйвера на проф уровне каким софтом пользоваться? Подскажите пожалуйста
С этим не помогу, пользуюсь лицензионным софтом.
Имейте ввиду, что во всяческих "сборках" Windows часто по умолчанию установлены пониженные установки безопасности системы и браузеров, отключено автоматическое обновление, восстановление системы и т. п.
а каким софтом ухаживающим за системой пользуетесь? Подскажите
Никаким. Система, если над ней не издеваться, себя сама содержит неплохо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\indus\browser.exe - [B]Trojan.Win32.Blouiroet.ef[/B][*] c:\programdata\temp1.exe - [B]Trojan.Win32.Blouiroet.ea[/B][*] c:\windows\hhsm\client.exe - [B]Trojan.Win32.Blouiroet.ea[/B][*] c:\windows\min\hostxmrig.exe - [B]not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen[/B][*] c:\windows\mssecsvc.exe - [B]Trojan-Ransom.Win32.Wanna.m[/B] ( BitDefender: Gen:Variant.Symmi.53623 )[/LIST][/LIST]