Огромное подозрение на майнер

SQ · 27.09.2018, 03:20

Приложите новые логи утилиты FRST.

Уточните пожалуйста видно какой процесс грузит ПК?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**deBerN** · 27.09.2018, 17:46

1)Прикладываю логи с "включенным вирусом" и "отключенным".
2)Насчет видимости процесса...Через программу "Bandicam" заснял список процессов при "выключенном вирусе", а потом сравнил с "включенным".
При включенном заметил вот эти лишние процессы:
nvvFxa.exe*32
svhost.exe LOCAL (это лишний свхост, т.е. на 1 больше чем при "выключенном")
WmiPrvSe.exe
WmiApSrv.exe
Wmprph.exe

Думаю хочется упомянуть что вирус обнаружил где-то неделю назад, а еще месяц назад при запуске пк начала вылазить консоль(буквально на 3 секунды) со следующим содержанием:
вирус.jpg
А далее, спустя 5 минут выскакивает следующее:
вирус 2.jpg

Думаю упомянуть это не лишнее.

P.S. Так же, почему то логи со "включенным" вирусом весят чуть больше.

SQ · 27.09.2018, 18:36

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Common Files\System\svc\dllhost.exe
Zip: File: C:\Program Files\Common Files\System\svc\dllhost.exe
Folder: C:\Program Files\Common Files\System\svc
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat [2018-07-04] ()
File: C:\Windows\SysWOW64\srvany.exe
U5 BITS; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\System32\DRIVERS\oem-drv64.sys
2017-09-02 10:36 - 2017-09-02 10:36 - 000000000 _____ () C:\Users\Grisha\AppData\Local\{85615563-CCBA-4761-BD95-453F24044304}
2017-07-26 17:48 - 2017-07-26 17:48 - 000000000 _____ () C:\Users\Grisha\AppData\Local\{EF8BF081-1AC9-433D-AA80-16E58B567429}
File: C:\Windows\System32\suge1l6.dll
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**deBerN** · 27.09.2018, 19:42

При загрузке карантина пишет "Ошибка загрузки. Данный файл уже был загружен"
Поэтому привожу через файлообменник.

https://ru.files.fm/u/ebrzcgbq

https://www.virustotal.com/ru/file/8...is/1538066464/

SQ · 27.09.2018, 19:49

По каким-то причинам не смогла утилита взять в карантин файл:

Код:

"File: C:\Program Files\Common Files\System\svc\dllhost.exe" => not found

Могли бы загрузиться в безопасный режим и заархивировать следующие файлы в zip с паролем infected для анализа:

Код:

C:\Program Files\Common Files\System\svc\dllhost.exe
C:\Windows\System32\DRIVERS\oem-drv64.sys

P.S. Важно при этом не запускать их.

- - - - -Добавлено - - - - -

Также сообщите, после фикса проблема проявляется еще?

**deBerN** · 27.09.2018, 21:41

После фикса проблема не ушла, архивы прикрепляю.

И я немного не понял, что значит не запускать?Загрузил безопасный режим, открыл нужные папки и кинул в архив, все.Если нужно было как-то иначе, сообщите пожалуйста.

SQ · 27.09.2018, 23:03

Сообщение от deBerN

И я немного не понял, что значит не запускать?.

Всмысле не кликать по ним, чтобы они не запустили и не присутствовали в процессах. Вы выполнили, то что нужно. Отправил файлы на анализ.

Сообщите, пожалуйста пароль на архив oem-drv64.zip

- - - - -Добавлено - - - - -

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
VirusTotal: C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
Zip: C:\Program Files\Common Files\OpenCU Common;C:\Program Files\Common Files\NVIDIA RTX Shared;C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
Folder: C:\Program Files\Common Files\NVIDIA RTX Shared
Folder: C:\Program Files\Common Files\OpenCU Common
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- - - - -Добавлено - - - - -

пришел ответ от Вир. лаба - нет угрозы от dllhost.zip.

**deBerN** · 27.09.2018, 23:11

Пароль infected русской раскладкой, т.е. - штаусеув (почему-то раскладка поменялась).

Карантин выслал.

Логи прикрепляю.

SQ · 27.09.2018, 23:16

Нашел угрозу, спасибо за карантин, ранее пропустил их из-за того что эти файлы были подписаны цифровой подписью.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
Folder: C:\Program Files\Common Files\NVIDIA RTX Shared
Folder: C:\Program Files\Common Files\OpenCU Common
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**deBerN** · 27.09.2018, 23:23

Прикрепляю

SQ · 27.09.2018, 23:32

Прошу прощения, выполните следующий фикс, в предыдущем только показывает содержимое папок но не удалят.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
CloseProcesses:
C:\Program Files\Common Files\NVIDIA RTX Shared
C:\Program Files\Common Files\OpenCU Common
Reboot:
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**deBerN** · 27.09.2018, 23:33

В моем сообщении выше(за 23:23) вирус выключен был, поэтому когда сделал фикс, при перезапуске снова пошла загрузка гп.

Решил переделать, сделать фикс при "включенном" вирусе, в итоге при перезапуске загрузка гп вроде как нормализовалась.

Прикрепляю фикслог при "включенном" вирусе.

upd. Вижу ваше сообщение за 23:32, написали мы одновременно) Поэтому пока бездействую до вашего следующего указания.
Если надо будет выполнить содержимое вашего сообщения, повторите пожалуйста это следующим сообщением.

SQ · 27.09.2018, 23:38

да, необходимо вам выполнить новый фикс, так как команда folder: только показывает содержимое папок.

**deBerN** · 27.09.2018, 23:50

Прикрепляю

SQ · 27.09.2018, 23:56

Теперь все ок, сообщите что с проблемой? Вредоносное ПО отправил в Вир. лаб. скоро его добавят в сигнатуры.

Уточните пожалуйста, вернуть следующую запись из карантина?

Код:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat [2018-07-04] ()

**deBerN** · 28.09.2018, 00:21

1)Перезапустил комп 3 раза не выключая интернет, с загрузкой гп проблем не возникло, загружено на 5% и температура в районе 36.

2)А за что этот батник отвечает? Имеются ли в нем вредоносные файлы? Что с ним, что без, пока что никакой разницы не замечаю.

upd.Забыл еще сказать, судя по вашему коду, вы просто закрыли процессы, их нужно удалять или беспокоить больше не будут?

SQ · 28.09.2018, 04:17

касаемо батника, чтобы восстановить его выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
RestoreQuarantine: C:\FRST\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat.xBAD
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Вирусные аналитике в батнике не видят угрозу.

Касаемо вредоносных файлов, то они находятся в карантине C:\FRST\Quarantine , пока они в карантине они угрозу не представляют.

Однако пока не решите вопрос с батником (нужен он вам или нет), не удаляйте каталог C:\FRST.

- - - - -Добавлено - - - - -

Получил ответ от вирусных аналитиков:

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
idegvx.exe - Trojan.Win32.Miner.usvk
nvvfxa.exe - Trojan.Win32.Miner.usvj

**deBerN** · 28.09.2018, 16:31

Восстановил батник, лог прикрепляю.

SQ · 28.09.2018, 16:55

На этом все!. Понаблюдайте пару дней, если все будет ок, то выполните завершаюшие действия.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

**deBerN** · 29.09.2018, 15:10

Хорошо, тогда завтра отпишу сюда(надеюсь в последний раз

)

Огромное подозрение на майнер (заявка № 220325)

Опции темы

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Это понравилось:

Похожие темы

Подозрение на майнер.

Подозрение на майнер.

Подозрение на майнер.

Подозрение на майнер

Подозрение на майнер

Ваши права в разделе