Добрый день.
Майнер самопроизвольно устанавливается и висит с загрузкой системы 50 процентов
пробовал в безопасном режиме удалить, после перезагрузки через некоторое время опять появляется.
Удаление не в безопасном режиме приводит к синему экрану.
После удаления в безопасном режиме папки, где находился майнер, он создается в другой папке.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) DIShat, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Последний раз редактировалось Vvvyg; 11.07.2017 в 21:53.
Спасибо за ответ.
Сразу же возникла проблема с первым пунктом. Я не могу выполнить данный скрипт. Я уже писал выше, что из работающей системы невозможно снести процесс вируса, система тут же ловит синий экран.
Выполнить скрипт в безопасном режиме?
К сожаление безопасный режим не работает. Как только сервер загружается, то сразу ловит синий экран смерти и уходит на перезагрузку..
Что можно еще придумать для выполнения скрипта?
Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:
Код:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
E:\ConsUserData\svchost.exe
S4 AeLookupSvc; C:\Windows\Temp\ntshrui.dll [X]
Task: {A5CB8768-9BF1-4603-9E1D-1B0AD3E14361} - \Microsoft\Windows\PLA\diart -> No File <==== ATTENTION
Task: {E352F99F-0662-4DF2-893A-B32C7B11D819} - \Microsoft\Windows\PLA\System\PLA Optimize -> No File <==== ATTENTION
Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению после руной перезагрузки сервера.
Запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится без предупреждения!
После перезагрузки скопируйте скрипт ниже в буфер обмена:
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Должен восстановить исходный файл.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл в карантин.
Сделайте новый полный образ автозапуска uVS, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.
Тогда я просто удалил это из планировщика, удалил пользователя и в безопасном режиме удалил файл. Полтора месяца была тишина и он всплыл, но уже в другой форме.
Спасибо Вам за помощь. Будем надеяться и верить ))
Пока неясно. как именно эта радость пролезает в систему - будем принимать меры профилактического характера против взлома и пытаться заблокировать работу майнера. Я вас сейчас чуточку сканирую с интернета, не волнуйтесь, это не взлом, а проверка уязвимостей.
Первым делом смените пароль администратора и запретите ему вход в систему по RDP. Заведите другую учётную запись для удалённого администрирования, с нетипичным именем и сложным паролем.
Поищите в папке с майнером файл pools.txt или другой текстовый, там должен быть список пулов майнинга, типа такого:
Полностью отключил встроенную учетную запись администратора и сменил на ней пароль.
Создал новую учетную запись.
С новой учетной записи процесс легко убивается, но через время стартует заново, при этом создавай нового пользователя с правами администратора
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: