Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 46.

майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ] (заявка № 213761)

  1. #1
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25

    майнер svchost.exe (not-a-virus:RiskTool.Win32.BitCoinMiner.ibto) [not-a-virus:RiskTool.Win32.BitCoinMiner.iaaf ]

    Добрый день.
    Майнер самопроизвольно устанавливается и висит с загрузкой системы 50 процентов
    пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
    Удаление не в безопасном режиме приводит к синему экрану.
    После удаления в безопасном режиме папки, где находился майнер, он создается в другой папке.
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,285
    Вес репутации
    377
    Уважаемый(ая) DIShat, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Practising Student Репутация
    Регистрация
    25.07.2016
    Адрес
    Москва
    Сообщений
    237
    Вес репутации
    29
    Здравствуйте!

    1. Временно отключите защитное ПО.

    Выполните скрипт AVZ.
    Код:
    begin
     TerminateProcessByName('E:\ConsUserData\svchost.exe');
     QuarantineFile('C:\Windows\Temp\ntshrui.dll','');
     QuarantineFile('E:\ConsUserData\svchost.exe','');
     DelCLSID('{2C7339CF-2B09-4501-B3F3-F3508C9228ED}');
     DelBHO('{8984B388-A5BB-4DF7-B274-77B879E179DB}');
     DeleteFile('E:\ConsUserData\svchost.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\AeLookupSvc\Parameters','ServiceDll');
     DeleteFile('C:\Windows\Temp\ntshrui.dll','32');
    ExecuteSysClean;
     CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
    end.
    Корректно завершите все удалённые подключения к серверу, закройте все программы и перезагрузите систему вручную.

    2. Файл карантина quarantine.zip из папки с AVZ отправьте по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    3. Сделайте новые логи программой Autologger и пришлите их.

    4. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    • Нажмите кнопку Scan.
    • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
    • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    Последний раз редактировалось Vvvyg; 11.07.2017 в 21:53.

  5. #4
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Спасибо за ответ.
    Сразу же возникла проблема с первым пунктом. Я не могу выполнить данный скрипт. Я уже писал выше, что из работающей системы невозможно снести процесс вируса, система тут же ловит синий экран.
    Выполнить скрипт в безопасном режиме?

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Да, выполняйте
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Цитата Сообщение от thyrex Посмотреть сообщение
    Да, выполняйте
    К сожаление безопасный режим не работает. Как только сервер загружается, то сразу ловит синий экран смерти и уходит на перезагрузку..
    Что можно еще придумать для выполнения скрипта?

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3103
    Делайте логи Farbar
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Запрошенные логи
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Уязвимость, которую использует нашумевший WannaCry: MS17-010: Описание обновления безопасности для Windows SMB Server, установили уже, надеюсь? Если нет - сделайте это обязательно.

    Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM-x32\...\Run: [] => [X]
    BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
    E:\ConsUserData\svchost.exe
    S4 AeLookupSvc; C:\Windows\Temp\ntshrui.dll [X]
    Task: {A5CB8768-9BF1-4603-9E1D-1B0AD3E14361} - \Microsoft\Windows\PLA\diart -> No File <==== ATTENTION
    Task: {E352F99F-0662-4DF2-893A-B32C7B11D819} - \Microsoft\Windows\PLA\System\PLA Optimize -> No File <==== ATTENTION
    Сохраните (Ctrl+S) и закройте.
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению после руной перезагрузки сервера.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Обновления устанавливаются автоматически
    Прикрепляю запрошенные логи
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Жив, там ещё и системная библиотека подменена.
    Попробуем так.

    Скопируйте скрипт из окна "код" ниже в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    sreg
    
    zoo %Sys32%\QMGR.DLL
    ;Trojan.BtcMine.1324 [DrWeb] 7
    zoo E:\CONSUSERDATA\SVCHOST.EXE
    del E:\CONSUSERDATA\SVCHOST.EXE
    delref E:\CONSUSERDATA\SVCHOST.EXE
    del %Sys32%\QMGR.DLL
    apply
    
    areg
    Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
    Компьютер перезагрузится без предупреждения!

    После перезагрузки скопируйте скрипт ниже в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    czoo
    sfc %Sys32%\QMGR.DLL
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Должен восстановить исходный файл.
    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл в карантин.

    Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
    WBR,
    Vadim

  13. Это понравилось:


  14. #12
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Запрошенные логи
    http://rgho.st/8KrD5Y5nv

    Вроде бы вирус не запустился после перезагрузки. Справились? Или могут еще быть хвосты? ))

    Архив в карантин загружен

  15. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Чисто но последите за ситуацией пару дней, были случаи, когда снова пролезал этот майнер.
    WBR,
    Vadim

  16. #14
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Чисто но последите за ситуацией пару дней, были случаи, когда снова пролезал этот майнер.
    Он сперва появился два месяца назад. Запускался он скриптом из Планировщика заданий
    Код:
    <?xml version="1.0" encoding="UTF-16"?>
    <Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
      <RegistrationInfo>
        <Date>2017-04-24T11:35:11.7055143</Date>
        <Author>SERVER\Артем</Author>
      </RegistrationInfo>
      <Triggers>
        <BootTrigger>
          <Repetition>
            <Interval>PT30M</Interval>
            <StopAtDurationEnd>false</StopAtDurationEnd>
          </Repetition>
          <Enabled>true</Enabled>
        </BootTrigger>
      </Triggers>
      <Principals>
        <Principal id="Author">
          <RunLevel>LeastPrivilege</RunLevel>
          <UserId>S-1-5-18</UserId>
        </Principal>
      </Principals>
      <Settings>
        <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
        <DisallowStartIfOnBatteries>false</DisallowStartIfOnBatteries>
        <StopIfGoingOnBatteries>false</StopIfGoingOnBatteries>
        <AllowHardTerminate>true</AllowHardTerminate>
        <StartWhenAvailable>false</StartWhenAvailable>
        <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
        <IdleSettings>
          <StopOnIdleEnd>true</StopOnIdleEnd>
          <RestartOnIdle>false</RestartOnIdle>
        </IdleSettings>
        <AllowStartOnDemand>true</AllowStartOnDemand>
        <Enabled>true</Enabled>
        <Hidden>false</Hidden>
        <RunOnlyIfIdle>false</RunOnlyIfIdle>
        <WakeToRun>false</WakeToRun>
        <ExecutionTimeLimit>PT0S</ExecutionTimeLimit>
        <Priority>7</Priority>
      </Settings>
      <Actions Context="Author">
        <Exec>
          <Command>C:\Windows\System32\svcmngr.exe</Command>
          <Arguments>-t 6 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8080 -O 47sghzufGhJJDQEbScMCwVBimTuq6L5JiRixD8VeGbpjCTA12noXmi4ZyBZLc99e66NtnKff34fHsGRoyZk3ES1s1V4QVcB.15dd6b557482400249a9313cefded2eac7daf99d172535775483f391b90fe0d7.TRIUMPH:x</Arguments>
        </Exec>
      </Actions>
    </Task>
    Тогда я просто удалил это из планировщика, удалил пользователя и в безопасном режиме удалил файл. Полтора месяца была тишина и он всплыл, но уже в другой форме.
    Спасибо Вам за помощь. Будем надеяться и верить ))

    - - - - -Добавлено - - - - -

    Не помогло... Он снова вернулся

  17. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Выполните скрипт в uVS:
    Код:
    ;uVS v3.81.8 [http://dsrt.dyndns.org]
    
    Exec wevtutil.exe epl System system.evtx
    Exec wevtutil.exe epl Application Application.evtx
    Exec wevtutil.exe epl Security Security.evtx
    Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
    В папке с UVS появится архив Events.7z, загрузите его на rghost.ru и дайте ссылку в теме.
    WBR,
    Vadim

  18. #16
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Запрошенные логи
    http://rgho.st/7pT8rpFsq

  19. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Пока неясно. как именно эта радость пролезает в систему - будем принимать меры профилактического характера против взлома и пытаться заблокировать работу майнера. Я вас сейчас чуточку сканирую с интернета, не волнуйтесь, это не взлом, а проверка уязвимостей.

    Первым делом смените пароль администратора и запретите ему вход в систему по RDP. Заведите другую учётную запись для удалённого администрирования, с нетипичным именем и сложным паролем.

    Поищите в папке с майнером файл pools.txt или другой текстовый, там должен быть список пулов майнинга, типа такого:
    Код:
    stratum+tcp://xmr-usa.dwarfpool.com:8050
    
    stratum+tcp://xmr-eu.dwarfpool.com:8080
    
    stratum+tcp://xmr-eu.dwarfpool.com:8050
    
    stratum+tcp://pool.minexmr.com:4444
    
    stratum+tcp://xmr.crypto-pool.fr:3333
    
    stratum+tcp://xmr.hashinvest.net:5555
    
    stratum+tcp://mine.moneropool.com:3333
    и заблокируйте эти домены через файл hosts.

    Сделайте новый полный образ автозапуска uVS.
    WBR,
    Vadim

  20. Это понравилось:


  21. #18
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Полностью отключил встроенную учетную запись администратора и сменил на ней пароль.
    Создал новую учетную запись.
    С новой учетной записи процесс легко убивается, но через время стартует заново, при этом создавай нового пользователя с правами администратора

    Запрошенные логи
    http://rgho.st/6dvjSRqVx

  22. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,454
    Вес репутации
    1057
    Остановите и отключите временно службу Mobile SMARTS Сервер, есть у меня смутные подозрения...

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    
    zoo %Sys32%\APPINFO.DLL
    addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841724C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4F05AD038CAEEBF 58 Trojan.BtcMine.1324 [DrWeb] 4
    
    zoo E:\CONSUSERDATA\SVCHOST.EXE
    addsgn A7A4F676C56A4C724359C2954C809B703DC2758BA9B29625858F4CF9789AF801135B4A02061914146BCC0DFA0E5AC0972D9361070D9639514D3F2D62CF4EAB26 8 Win32.BitCoinMiner.ibto [Kaspersky] 7
    
    chklst
    delvir
    
    apply
    
    czoo
    Перезагрузите сервер.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Новый файл ZOO отправьте в карантин.

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    sfc %Sys32%\APPINFO.DLL
    Удалите левых пользователей, установите все доступные обновления к системе.
    WBR,
    Vadim

  23. #20
    Junior Member Репутация
    Регистрация
    11.07.2017
    Сообщений
    23
    Вес репутации
    25
    Службу отключил
    Обновления все последние
    Пользователей лишних удалил

    Запрошенные логи прикладываю
    Карантин отправил

    После перезапуска пока что вируса не наблюдаю. Посмотрю дальше
    Вложения Вложения

  • Уважаемый(ая) DIShat, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Ответов: 27
      Последнее сообщение: 19.07.2017, 20:59
    2. Подозрение на майнер [not-a-virus:HEUR:RiskTool.Win32.BitCoinMiner.gen ]
      От Василий Солодилов в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 15.10.2016, 01:10
    3. Вирус майнер [not-a-virus:RiskTool.Win32.BitCoinMiner.wyw ]
      От PSIxx в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 19.02.2015, 11:02
    4. Ответов: 6
      Последнее сообщение: 30.10.2014, 20:13
    5. Ответов: 10
      Последнее сообщение: 25.01.2014, 22:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00754 seconds with 17 queries