Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ] (заявка № 213761)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1

    майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ]

    Добрый день.
    Майнер самопроизвольно устанавливается и висит с загрузкой системы 50 процентов
    пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
    Удаление не в безопасном режиме приводит к синему экрану.
    После удаления в безопасном режиме папки, где находился майнер, он создается в другой папке.
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,417
    Вес репутации
    340
    Уважаемый(ая) DIShat, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Practising Student Репутация
    Регистрация
    25.07.2016
    Адрес
    Москва
    Сообщений
    180
    Вес репутации
    6
    Здравствуйте!

    1. Временно отключите защитное ПО.

    Выполните скрипт AVZ.
    Код:
    begin
     TerminateProcessByName('E:\ConsUserData\svchost.exe');
     QuarantineFile('C:\Windows\Temp\ntshrui.dll','');
     QuarantineFile('E:\ConsUserData\svchost.exe','');
     DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     DeleteFile('E:\ConsUserData\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AeLookupSvc\Parameters','ServiceDll');
     DeleteFile('C:\Windows\Temp\ntshrui.dll','32');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
    end.
    Корректно завершите все удалённые подключения к серверу, закройте все программы и перезагрузите систему вручную.

    2. Файл карантина quarantine.zip из папки с AVZ отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    3. Сделайте новые логи программой Autologger и пришлите их.

    4. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Последний раз редактировалось Vvvyg; 11.07.2017 в 21:53.

  5. #4
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Спасибо за ответ.
    Сразу же возникла проблема с первым пунктом. Я не могу выполнить данный скрипт. Я уже писал выше, что из работающей системы невозможно снести процесс вируса, система тут же ловит синий экран.
    Выполнить скрипт в безопасном режиме?

  6. #5
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    95,786
    Вес репутации
    3008
    Да, выполняйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Цитата Сообщение от thyrex Посмотреть сообщение
    Да, выполняйте
    К сожаление безопасный режим не работает. Как только сервер загружается, то сразу ловит синий экран смерти и уходит на перезагрузку..
    Что можно еще придумать для выполнения скрипта?

  8. #7
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    95,786
    Вес репутации
    3008
    Делайте логи Farbar
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Запрошенные логи
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Уязвимость, которую использует нашумевший WannaCry: MS17-010: Описание обновления безопасности для Windows SMB Server, установили уже, надеюсь? Если нет - сделайте это обязательно.

    Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    E:\ConsUserData\svchost.exe
    S4 AeLookupSvc; C:\Windows\Temp\ntshrui.dll [X]
    Task: {A5CB8768-9BF1-4603-9E1D-1B0AD3E14361} - \Microsoft\Windows\PLA\diart -> No File <==== ATTENTION
    Task: {E352F99F-0662-4DF2-893A-B32C7B11D819} - \Microsoft\Windows\PLA\System\PLA Optimize -> No File <==== ATTENTION
    Сохраните (Ctrl+S) и закройте.
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению после руной перезагрузки сервера.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Обновления устанавливаются автоматически
    Прикрепляю запрошенные логи
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Жив, там ещё и системная библиотека подменена.
    Попробуем так.

    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    sreg
    
    zoo %Sys32%\QMGR.DLL
    ;Trojan.BtcMine.1324 [DrWeb] 7
    zoo E:\CONSUSERDATA\SVCHOST.EXE
    del E:\CONSUSERDATA\SVCHOST.EXE
    delref E:\CONSUSERDATA\SVCHOST.EXE
    del %Sys32%\QMGR.DLL
    apply
    
    areg
    Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится без предупреждения!

    После перезагрузки скопируйте скрипт ниже в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    czoo
    sfc %Sys32%\QMGR.DLL
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Должен восстановить исходный файл.
    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл в карантин.

    Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
    WBR,
    Vadim

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Запрошенные логи
    http://rgho.st/8KrD5Y5nv

    Вроде бы вирус не запустился после перезагрузки. Справились? Или могут еще быть хвосты? ))

    Архив в карантин загружен

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Чисто но последите за ситуацией пару дней, были случаи, когда снова пролезал этот майнер.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Чисто но последите за ситуацией пару дней, были случаи, когда снова пролезал этот майнер.
    Он сперва появился два месяца назад. Запускался он скриптом из Планировщика заданий
    Код:
    <?xml version="1.0" encoding="UTF-16"?>
    <Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
      <RegistrationInfo>
        <Date>2017-04-24T11:35:11.7055143</Date>
        <Author>SERVER\Артем</Author>
      </RegistrationInfo>
      <Triggers>
        <BootTrigger>
          <Repetition>
            <Interval>PT30M</Interval>
            <StopAtDurationEnd>false</StopAtDurationEnd>
          </Repetition>
          <Enabled>true</Enabled>
        </BootTrigger>
      </Triggers>
      <Principals>
        <Principal id="Author">
          <RunLevel>LeastPrivilege</RunLevel>
          <UserId>S-1-5-18</UserId>
        </Principal>
      </Principals>
      <Settings>
        <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
        <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
        <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
        <AllowHardTerminate>true</AllowHardTerminate>
        <StartWhenAvailable>false</StartWhenAvailable>
        <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
        <IdleSettings>
          <StopOnIdleEnd>true</StopOnIdleEnd>
          <RestartOnIdle>false</RestartOnIdle>
        </IdleSettings>
        <AllowStartOnDemand>true</AllowStartOnDemand>
        <Enabled>true</Enabled>
        <Hidden>false</Hidden>
        <RunOnlyIfIdle>false</RunOnlyIfIdle>
        <WakeToRun>false</WakeToRun>
        <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
        <Priority>7</Priority>
      </Settings>
      <Actions Context="Author">
        <Exec>
          <Command>C:\Windows\System32\svcmngr.exe</Command>
          <Arguments>-t 6 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 47sghzufGhJJDQEbScMCwVBimTuq6L5JiRixD8VeGbpjCTA12noXmi4ZyBZLc99e66NtnKff34fHsGRoyZk3ES1s1V4QVcB.15dd6b557482400249a9313cefded2eac7daf99d172535775483f391b90fe0d7.TRIUMPH:x</Arguments>
        </Exec>
      </Actions>
    </Task>
    Тогда я просто удалил это из планировщика, удалил пользователя и в безопасном режиме удалил файл. Полтора месяца была тишина и он всплыл, но уже в другой форме.
    Спасибо Вам за помощь. Будем надеяться и верить ))

    - - - - -Добавлено - - - - -

    Не помогло... Он снова вернулся

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    
    Exec wevtutil.exe epl System system.evtx
    Exec wevtutil.exe epl Application Application.evtx
    Exec wevtutil.exe epl Security Security.evtx
    Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Запрошенные логи
    http://rgho.st/7pT8rpFsq

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Пока неясно. как именно эта радость пролезает в систему - будем принимать меры профилактического характера против взлома и пытаться заблокировать работу майнера. Я вас сейчас чуточку сканирую с интернета, не волнуйтесь, это не взлом, а проверка уязвимостей.

    Первым делом смените пароль администратора и запретите ему вход в систему по RDP. Заведите другую учётную запись для удалённого администрирования, с нетипичным именем и сложным паролем.

    Поищите в папке с майнером файл pools.txt или другой текстовый, там должен быть список пулов майнинга, типа такого:
    Код:
    stratum+tcp://xmr-usa.dwarfpool.com:8050
    
    stratum+tcp://xmr-eu.dwarfpool.com:8080
    
    stratum+tcp://xmr-eu.dwarfpool.com:8050
    
    stratum+tcp://pool.minexmr.com:4444
    
    stratum+tcp://xmr.crypto-pool.fr:3333
    
    stratum+tcp://xmr.hashinvest.net:5555
    
    stratum+tcp://mine.moneropool.com:3333
    и заблокируйте эти домены через файл hosts.

    Сделайте новый полный образ автозапуска uVS.
    WBR,
    Vadim

  20. Это понравилось:


  21. #18
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Полностью отключил встроенную учетную запись администратора и сменил на ней пароль.
    Создал новую учетную запись.
    С новой учетной записи процесс легко убивается, но через время стартует заново, при этом создавай нового пользователя с правами администратора

    Запрошенные логи
    http://rgho.st/6dvjSRqVx

  22. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    25,923
    Вес репутации
    822
    Остановите и отключите временно службу Mobile SMARTS Сервер, есть у меня смутные подозрения...

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    
    zoo %Sys32%\APPINFO.DLL
    addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
    
    zoo E:\CONSUSERDATA\SVCHOST.EXE
    addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 7
    
    chklst
    delvir
    
    apply
    
    czoo
    Перезагрузите сервер.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Новый файл ZOO отправьте в карантин.

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    sfc %Sys32%\APPINFO.DLL
    Удалите левых пользователей, установите все доступные обновления к системе.
    WBR,
    Vadim

  23. #20
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    1
    Службу отключил
    Обновления все последние
    Пользователей лишних удалил

    Запрошенные логи прикладываю
    Карантин отправил

    После перезапуска пока что вируса не наблюдаю. Посмотрю дальше
    Вложения Вложения

  • Уважаемый(ая) DIShat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 27
      Последнее сообщение: 19.07.2017, 20:59
    2. Подозрение на майнер [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen ]
      От Василий Солодилов в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.10.2016, 01:10
    3. Вирус майнер [not-a-virus:RiskTool.Win32.BitCoinMiner.wyw ]
      От PSIxx в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.02.2015, 11:02
    4. Ответов: 6
      Последнее сообщение: 30.10.2014, 20:13
    5. Ответов: 10
      Последнее сообщение: 25.01.2014, 22:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01071 seconds with 18 queries