Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Снова подцепил майнер (заявка № 200327)

  1. #1
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30

    Thumbs up Снова подцепил майнер

    свхост грузит систему на 25 процентов , все то же самое , куча разных файлов с названиями вроде litecoin-reaper , bitcoin и тд в папке windows . На этот раз только ничем они ловиться не хотят. антивирь стоит каспер лиценз. правда endpoint 10 то есть корпоративный может в этом проблема ? Хочу понять как это прекратить .

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Aspir, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Логи сделаны версией 4.45. Скачайте актуальную версию AVZ: 4.46, обновите базы и переделайте логи.

    - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

  5. #4
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    http://virusinfo.info/virusdetector/...8AAE55B13D2B2C
    Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.
    Последний раз редактировалось Aspir; 11.05.2016 в 18:24.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aspir Посмотреть сообщение
    Кстати сейчас я этот майнер вырубил через диспетчер задач , не знаю влияет ли это на скан.
    разумеется влияет. В списке процессов я его уже не увижу.

    - - - - -Добавлено - - - - -

    Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

  7. #6
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Переделал с запущенным майнером) http://virusinfo.info/virusdetector/...5AB66D34B80199

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Skype Click to Call - советую деинсталируйте.

    Выполните скрипт в uVS
    Код:
    ;uVS v3.87.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v385c
    BREG
    delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\AD-AWARE\AD-AWAREADMIN.EXE
    delref %SystemRoot%\CONHOST.EXE
    delref %SystemDrive%\PROGRAM FILES\AMD\CIM\\BIN64\INSTALLMANAGERAPP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\MAPLESTUDIO\CHROMEPLUS\APPLICATION\2.0.9.20\DELEGATE_EXECUTE.EXE
    delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
    delref HTTP://SAFESEARCHR.LAVASOFT.COM/?SOURCE=3336CA5F&TBP=RBOX&TOOLBARID=ADAWARETB&U=F3A560463B501866EABE7E5093C50977&Q={SEARCHTERMS}
    delref HTTP://GO.MAIL.RU/SEARCH?Q={SEARCHTERMS}&UTF8IN=1&FR=IETB
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\KEINKHGNLCKANELLOHDLLEJMHIPFOCMI.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LBHLPGHMMKKNFALANFIMBFJLLLIANMDJ.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\JDNCIIHJAKPBHINLGNMAFKLMNGKCCEBP.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\ADALMAMKNLBMFAKLDKGANAJLOCNKKGFF.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\BGEAKJMFKNNCPPBMGKKFBGLNODCCDECP.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\HBPOHBEFLIEIBMCMOHDNHFKIGFMKMFGD.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\IHNGDFJNOMKOONICFBLFFINANGFAFEPK.CRX
    delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\TEMP\LMKELJMLECJKAKKEKFEBMHMAHHHFLONF.CRX
    delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\RAR$EXA0.629\RABIT.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
    delref %SystemDrive%\USERS\ГОСТЬ\DESKTOP\JAVAW.EXE
    delref %SystemDrive%\USERS\ЦАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\PLUGINS\EXTENSION_0_1_0_4.CRX
    restart
    сделайте свежий образ автозапуска.

  9. #8
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30

  10. #9
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Сегодня утром прошёлся по пк cclener и auslogics , смотрю а майнер опять заработал ( . сввхост его связан с двумя еще процессами taskeng.exe. Все файлы майнеров так и остались в папке окон .

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aspir Посмотреть сообщение
    сввхост его связан с двумя еще процессами taskeng.exe
    это системные процессы.
    Что с проблемой?

  12. #11
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Осталась проблема , вот утром он опять запустил свхост с 25% на систему. Эти файлы не могут быть причиной ?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aspir Посмотреть сообщение
    Эти файлы не могут быть причиной ?
    да, удалите их.
    И там видно cpu1.exe проверьте его https://virustotal.com/ ссылку на отчёт оставьте здесь.
    Сделайте свежий лог uVS.

  14. #13
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    https://virustotal.com/ru/file/83a8d...is/1463244209/

    И вот еще один exe оттуда проверил тоже оказался майнерским

    https://virustotal.com/ru/file/1e010...is/1463247911/

    вот что я удалил в итоге

    вот так сейчас выглядит папка окна

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aspir Посмотреть сообщение
    https://virustotal.com/ru/file/83a8d...is/1463244209/

    И вот еще один exe оттуда проверил тоже оказался майнерским

    https://virustotal.com/ru/file/1e010...is/1463247911/
    по обоим ссылкам антивирусам особо верить не надо, возможно фолсы.
    Пришлите эти файлы в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

    - - - - -Добавлено - - - - -

    + - Сделайте лог полного сканирования MBAM.

  16. #15
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Карантин залил

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Dont Starve - это как понимаю вам знакомо?
    Со своими кряками разбирайтесь сами.
    Что с проблемой?

  18. Это понравилось:


  19. #17
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Цитата Сообщение от regist Посмотреть сообщение
    Dont Starve - это как понимаю вам знакомо?
    Со своими кряками разбирайтесь сами.
    Что с проблемой?
    Решена, спасибо за помощь.

  20. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    MBAM деинсталируйте.

    Выполните скрипт в AVZ при наличии доступа в интернет:

    Код:
    var
    LogPath : string;
    ScriptPath : string;
    
    begin
     LogPath := GetAVZDirectory + 'log\avz_log.txt';
     if FileExists(LogPath) Then DeleteFile(LogPath);
     ScriptPath := GetAVZDirectory +'ScanVuln.txt';
    
      if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
        if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
           ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
           exit;
          end;
      end;
     if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
    end.
    После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

    Советы и рекомендации после лечения компьютера

  21. #19
    Junior Member Репутация
    Регистрация
    11.02.2016
    Сообщений
    21
    Вес репутации
    30
    Поиск критических уязвимостей
    Накопительное обновление безопасности для браузера Internet Explorer
    UAC (контроль учётных записей) отключён.
    Обнаружено уязвимостей: 2

    всего то . А зачем мбам удалять , он вроде довольно эффективен, кстати стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?

  22. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,580
    Вес репутации
    757
    Цитата Сообщение от Aspir Посмотреть сообщение
    А зачем мбам удалять , он вроде довольно эффективен
    1) Очень много фолсов, в том числе и на системные файлы.
    2) Конфликтует с другим ПО.

    Цитата Сообщение от Aspir Посмотреть сообщение
    стоит ли мне отказать от каспера endpoint 10 в пользу того же нода ?
    это довольно интимный вопрос и каждый сам должен решать. Но я бы не стал отказываться.

  • Уважаемый(ая) Aspir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Подцепил майнер, побороть не могу
      От Vasyan в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 14.09.2015, 07:09
    2. Возможно подцепил майнер
      От rickproza в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 20.04.2015, 11:58
    3. Биткоин. Майнер. Снова.
      От Vintorez174 в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 12.03.2015, 01:54
    4. И снова подозрение на майнер.
      От sam0 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.03.2015, 01:43
    5. Снова майнер. Помогите избавиться.
      От sam0 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 28.05.2014, 22:29

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00939 seconds with 19 queries