-
Junior Member
- Вес репутации
- 30
Снова подцепил майнер
свхост грузит систему на 25 процентов , все то же самое , куча разных файлов с названиями вроде litecoin-reaper , bitcoin и тд в папке windows . На этот раз только ничем они ловиться не хотят. антивирь стоит каспер лиценз. правда endpoint 10 то есть корпоративный может в этом проблема ? Хочу понять как это прекратить .
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Aspir, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Логи сделаны версией 4.45. Скачайте актуальную версию AVZ: 4.46, обновите базы и переделайте логи.
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
-
-
Junior Member
- Вес репутации
- 30
http://virusinfo.info/virusdetector/...8AAE55B13D2B2C
Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.
Последний раз редактировалось Aspir; 11.05.2016 в 18:24.
-
Сообщение от
Aspir
Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.
разумеется влияет. В списке процессов я его уже не увижу.
- - - - -Добавлено - - - - -
Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
-
-
Junior Member
- Вес репутации
- 30
-
Skype Click to Call - советую деинсталируйте.
Выполните скрипт в uVS
Код:
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\AD-AWARE\AD-AWAREADMIN.EXE
delref %SystemRoot%\CONHOST.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\\BIN64\INSTALLMANAGERAPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAPLESTUDIO\CHROMEPLUS\APPLICATION\2.0.9.20\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref HTTP://SAFESEARCHR.LAVASOFT.COM/?SOURCE=3336CA5F&TBP=RBOX&TOOLBARID=ADAWARETB&U=F3A560463B501866EABE7E5093C50977&Q={SEARCHTERMS}
delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&UTF8IN=1&FR=IETB
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\KEINKHGNLCKANELLOHDLLEJMHIPFOCMI.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LBHLPGHMMKKNFALANFIMBFJLLLIANMDJ.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\JDNCIIHJAKPBHINLGNMAFKLMNGKCCEBP.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ADALMAMKNLBMFAKLDKGANAJLOCNKKGFF.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\BGEAKJMFKNNCPPBMGKKFBGLNODCCDECP.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\HBPOHBEFLIEIBMCMOHDNHFKIGFMKMFGD.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\IHNGDFJNOMKOONICFBLFFINANGFAFEPK.CRX
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LMKELJMLECJKAKKEKFEBMHMAHHHFLONF.CRX
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\RAR$EXA0.629\RABIT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\ГОСТЬ\DESKTOP\JAVAW.EXE
delref %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\PLUGINS\EXTENSION_0_1_0_4.CRX
restart
сделайте свежий образ автозапуска.
-
-
Junior Member
- Вес репутации
- 30
-
Junior Member
- Вес репутации
- 30
Сегодня утром прошёлся по пк cclener и auslogics , смотрю а майнер опять заработал ( . сввхост его связан с двумя еще процессами taskeng.exe. Все файлы майнеров так и остались в папке окон .
-
Сообщение от
Aspir
сввхост его связан с двумя еще процессами taskeng.exe
это системные процессы.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 30
Осталась проблема , вот утром он опять запустил свхост с 25% на систему. Эти файлы не могут быть причиной ?
-
Сообщение от
Aspir
Эти файлы не могут быть причиной ?
да, удалите их.
И там видно cpu1.exe проверьте его https://virustotal.com/ ссылку на отчёт оставьте здесь.
Сделайте свежий лог uVS.
-
-
Junior Member
- Вес репутации
- 30
https://virustotal.com/ru/file/83a8d...is/1463244209/
И вот еще один exe оттуда проверил тоже оказался майнерским
https://virustotal.com/ru/file/1e010...is/1463247911/
вот что я удалил в итоге
вот так сейчас выглядит папка окна
-
Сообщение от
Aspir
по обоим ссылкам антивирусам особо верить не надо, возможно фолсы.
Пришлите эти файлы в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
- - - - -Добавлено - - - - -
+ - Сделайте лог полного сканирования MBAM.
-
-
Junior Member
- Вес репутации
- 30
-
Dont Starve - это как понимаю вам знакомо?
Со своими кряками разбирайтесь сами.
Что с проблемой?
-
-
Junior Member
- Вес репутации
- 30
Сообщение от
regist
Dont Starve - это как понимаю вам знакомо?
Со своими кряками разбирайтесь сами.
Что с проблемой?
Решена, спасибо за помощь.
-
MBAM деинсталируйте.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
Советы и рекомендации после лечения компьютера
-
-
Junior Member
- Вес репутации
- 30
Поиск критических уязвимостей
Накопительное обновление безопасности для браузера Internet Explorer
UAC (контроль учётных записей) отключён.
Обнаружено уязвимостей: 2
всего то . А зачем мбам удалять , он вроде довольно эффективен, кстати стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?
-
Сообщение от
Aspir
А зачем мбам удалять , он вроде довольно эффективен
1) Очень много фолсов, в том числе и на системные файлы.
2) Конфликтует с другим ПО.
Сообщение от
Aspir
стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?
это довольно интимный вопрос и каждый сам должен решать. Но я бы не стал отказываться.
-