Показано с 1 по 11 из 11.

AudioModule.exe Сильно грузит систему [Trojan.Win64.Miner.nk, Backdoor.Win32.RMS.pn, HEUR:Trojan.Win32.Miner.gen ] (заявка № 217645)

  1. #1
    Junior Member Репутация
    Регистрация
    07.02.2018
    Сообщений
    5
    Вес репутации
    1

    AudioModule.exe Сильно грузит систему [Trojan.Win64.Miner.nk, Backdoor.Win32.RMS.pn, HEUR:Trojan.Win32.Miner.gen ]

    Недавно некий процесс начал сильно грузить систему. Открываю диспетчер задач - он куда-то девается, скачал сторонний, отследил. Это оказался какой-то AudioModule.exe, являющийся подпроцессом conhost.exe. При открытия диспетчера задач он пропадает, после закрытия - появляется. Пытался закрыть его через сторонний, но он сразу же открывался. На графике загрузки цп показывает, что именно этот процесс грузит на 40-70%
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,457
    Вес репутации
    343
    Уважаемый(ая) Алексей1233212, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('C:\ProgramData\System32\Logs\svchost.exe');
     TerminateProcessByName('C:\ProgramData\WindowsTask\AudioModule.exe');
     StopService('RManService');
     QuarantineFile('C:\MSOСache\svchоst.exe', '');
     QuarantineFile('C:\ProgramData\System32\Logs\svchost.exe', '');
     QuarantineFile('c:\Programdata\Windows\rutserv.exe', '');
     QuarantineFile('C:\ProgramData\WindowsTask\AudioModule.exe', '');
     QuarantineFile('C:\Users\сомр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\08f4dc96bbb7af09d1a37fe35c75a42f.exe', '');
     DeleteFile('C:\MSOСache\svchоst.exe', '32');
     DeleteFile('C:\ProgramData\System32\Logs\svchost.exe', '32');
     DeleteFile('c:\Programdata\Windows\rutserv.exe', '32');
     DeleteFile('C:\ProgramData\WindowsTask\AudioModule.exe', '32');
     DeleteFile('C:\Users\сомр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\08f4dc96bbb7af09d1a37fe35c75a42f.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\WindowsUpdate\ScheduledUpdate" /F', 0, 15000, true);
     DeleteService('RManService');
     DeleteFileMask('c:\programdata\system32', '*', true);
     DeleteFileMask('c:\Programdata\Windows', '*', true);
     DeleteFileMask('c:\programdata\windowstask', '*', true);
     DeleteDirectory('c:\programdata\system32');
     DeleteDirectory('c:\Programdata\Windows');
     DeleteDirectory('c:\programdata\windowstask');
     RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsоft Оffiсe');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(13);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Сделайте новый лог такой версией Autologger.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    07.02.2018
    Сообщений
    5
    Вес репутации
    1
    Безумно благодарен, процесс пропал, цп больше не грузится.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Ещё не всё. В папке
    Код:
    C:\Program Files\RDP Wrapper
    ваше? Это для работы нескольких терминальных сессий в несерверных Windows, но может и для взлома использоваться. Установлено 7-го числа.

    Выполните скрипт в AVZ, загрузив систему в безопасном режиме:
    Код:
    begin
     DeleteFile('C:\MSOСache\svchоst.exe', '32');
     DeleteFile('C:\Users\сомр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\08f4dc96bbb7af09d1a37fe35c75a42f.exe', '32');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsоft Оffiсe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    07.02.2018
    Сообщений
    5
    Вес репутации
    1
    Все сделал, в безопасном режиме удалил папку "RPD wrapper", что-то еще?

    - - - - -Добавлено - - - - -

    Теперь порылся в C:\Program Files\ И нашел несколько папок, созданных того же числа, что и "rdp wrapper", которые не в состоянии удалить, требуются права администратора, через свойства - безопасность не позволяет дать себе права
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Да, поимели систему конкретно, нужно зачистить следы и устранить дыры в безопасности.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    Closeprocesses:
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Run: [Oперационная система Microsoft Windоws] => C:\MSOСache\svсhost.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Run: [Microsоft Оffiсe] => C:\MSOСache\svchоst.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [1] adwcleaner_7.0.4.0.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [3] eav_trial_rus.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [4] eis_trial_rus.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [5] essf_trial_rus.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [6] hitmanpro_x64.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [7] mb3-setup-consumer-3.3.1.2183.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [8] mkhowpc1.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [9] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [10] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [11] HitmanPro.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [12] HitmanPro.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [13] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-2321178605-3507661427-2818791782-1000\...\Policies\Explorer\DisallowRun: [14] Cezurity_Scanner_Pro_Free.exe
    Startup: C:\Users\сомр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\08f4dc96bbb7af09d1a37fe35c75a42f.exe [2017-12-22] ()
    C:\Users\сомр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\08f4dc96bbb7af09d1a37fe35c75a42f.exe
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    S3 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X]
    Folder: C:\Windows\SysWOW64\xmr64
    Folder: C:\Windows\hhsm
    Folder: C:\Users\сомр\AppData\Roaming\kryptex
    Folder: C:\Users\сомр\AppData\Roaming\coretempapp
    Folder: C:\ProgramData\Cefunpacked
    2018-02-07 20:44 - 2018-02-07 20:44 - 000000000 __SHD C:\ProgramData\{CB28D9D3-6B5D-4AFA-BA37-B4AFAABF70B8}
    2018-02-07 20:44 - 2018-02-07 20:44 - 000000000 ____D C:\ProgramData\Cefunpacked
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Norton
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\grizzly
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\ESET
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Doctor Web
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Cezurity
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Avira
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\Avg
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\AVAST Software
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\360TotalSecurity
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\ProgramData\360safe
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\Program Files\McAfee.com
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\Program Files\McAfee
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\Program Files\ESET
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\Program Files\Cezurity
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\Program Files (x86)\Cezurity
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 __SHD C:\AdwCleaner
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files\SpyHunter
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files\Malwarebytes
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files\Enigma Software Group
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files\COMODO
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files\AVAST Software
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files (x86)\SpyHunter
    2018-02-07 20:43 - 2018-02-07 20:43 - 000000000 ____D C:\Program Files (x86)\360
    2018-02-07 20:42 - 2018-02-07 20:42 - 000000000 __SHD C:\ProgramData\System32
    2018-02-07 20:42 - 2018-02-07 20:42 - 000000000 ____D C:\ProgramData\Install
    2018-02-07 20:42 - 2018-02-07 20:42 - 000000000 ____D C:\rdp
    2018-02-06 22:03 - 2018-02-07 20:44 - 000000000 __SHD C:\temp
    2017-12-21 20:51 - 2017-12-21 21:25 - 000000000 _____ () C:\Users\сомр\AppData\Roaming\BGWorker.exe
    Task: {5BFD9CCC-D2AA-43E8-9A0F-D31B9DB39057} - \PowerMonitor -> No File <==== ATTENTION
    Task: {A8866675-DA44-405C-9484-52D909F3194E} - \wupdate -> No File <==== ATTENTION
    CMD: sc config MpsSvc start=auto
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    07.02.2018
    Сообщений
    5
    Вес репутации
    1
    Весь тот мусор с диска С удалился. Что-то еще?
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    Да вот не весь, один бэкдор остался. Потому что не выполнили:
    При сохранении выберите кодировку Юникод!
    Русские буквы в результате сохранились как ����������� и файлы и реестр частично не зачищены. Примените такой fixlist.txt из вложения:fixlist.txt
    И прикрепите новый Fixlog.txt к сообщению.

    Устанавливайте критические обновления по ссылкам:
    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3138962 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3156019 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    HotFix KB4056894 Внимание! Скачать обновления
    HotFix KB4056897 Внимание! Скачать обновления
    Обновляйте Adobe Flash, через его уязвимости сейчас часто взламывают, может и ваш компьютер тоже:
    Adobe Flash Player 13 ActiveX v.13.0.0.206 Внимание! Скачать обновления
    Adobe Flash Player 25 PPAPI v.25.0.0.127 Внимание! Скачать обновления
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    07.02.2018
    Сообщений
    5
    Вес репутации
    1
    Флеш плеер обновил. Это все?
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    27,162
    Вес репутации
    848
    HotFix KB4012212 хотя бы установите, без него майнер или шифровальщик подцепите легко. А лучше все, чего бояться?
    WBR,
    Vadim

Похожие темы

  1. svchost сильно грузит систему
    От Александр Соколкин в разделе Помогите!
    Ответов: 8
    Последнее сообщение: 27.01.2017, 13:01
  2. Процесс сильно грузит систему.
    От Надежда Грудкина в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 22.12.2016, 23:38
  3. TrustedInstaller сильно грузит систему до 100%
    От Alex245 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 10.12.2015, 13:02
  4. csdrive32.exe сильно грузит систему
    От Sheiker в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 21.06.2012, 13:49
  5. что-то сильно грузит систему
    От толстый29 в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 27.01.2012, 19:15

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01647 seconds with 20 queries