Показано с 1 по 7 из 7.

Вирус xmrig cuda (заявка № 227145)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2021
    Сообщений
    3
    Вес репутации
    1

    Thumbs up Вирус xmrig cuda

    Уже который раз, после полной чистки ПК антивирусами-утилитами, типа drweb cureit, hitman malware, kaspersky, вот этот вирус по вот этому пути (скриншоты) восстанавливается и забивает проц по сотку, в диспетчере не детектится. Три недели назад нашел путь, где он сидит, удалил и сейчас он опять вернулся.
    Изображения Изображения
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,297
    Вес репутации
    364
    Уважаемый(ая) Kozzzir, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     TerminateProcessByName('c:\programdata\windows\dlchosts.exe');
     TerminateProcessByName('c:\programdata\windows\profile\dllhostn.exe');
     TerminateProcessByName('c:\programdata\windows\profile\service.exe');
     TerminateProcessByName('c:\programdata\windows\profile\wasp.exe');
     TerminateProcessByName('c:\programdata\windows\profile\waspwing.exe');
     QuarantineFile('c:\programdata\windows\dlchosts.exe', '');
     QuarantineFile('c:\programdata\windows\profile\dllhostn.exe', '');
     QuarantineFile('c:\programdata\windows\profile\service.exe', '');
     QuarantineFile('c:\programdata\windows\profile\wasp.exe', '');
     QuarantineFile('c:\programdata\windows\profile\waspwing.exe', '');
     DeleteFile('c:\programdata\windows\dlchosts.exe', '');
     DeleteFile('c:\programdata\windows\dlchosts.exe', '64');
     DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '');
     DeleteFile('c:\programdata\windows\profile\dllhostn.exe', '64');
     DeleteFile('c:\programdata\windows\profile\service.exe', '');
     DeleteFile('c:\programdata\windows\profile\wasp.exe', '');
     DeleteFile('c:\programdata\windows\profile\wasp.exe', '64');
     DeleteFile('c:\programdata\windows\profile\waspwing.exe', '');
     DeleteFileMask('c:\programdata\windows\profile', '*', false);
     DeleteDirectory('c:\programdata\windows\profile');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     DeleteSchedulerTask('Microsoft\Windows\DUSM\DUSM');
     DeleteSchedulerTask('Microsoft\Windows\Maintenance\WinDAT');
     DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-1481903186-1144140200-1019887221-500');
     DeleteSchedulerTask('OneDrive Standalone Update Task-S-1-5-21-3929785066-1310864014-745133530-500');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 3, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2021
    Сообщений
    3
    Вес репутации
    1
    Вот. Кстати, после перезапуска системы, выдало ошибку об отсутствии скрипта
    Новый точечный рисунок.jpg
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {20646ba3-a8ca-11eb-96d9-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {20646bbc-a8ca-11eb-96d9-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {267133d5-9378-11eb-968f-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {401f37f1-9b55-11eb-96ab-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {401f388e-9b55-11eb-96ab-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {c7ee2958-ae43-11eb-96f1-18c04d697d73} - "I:\setup.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218a8f-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218aa2-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1481903186-1144140200-1019887221-1001\...\MountPoints2: {ff218acc-a905-11eb-96da-18c04d697d73} - "F:\HiSuiteDownLoader.exe" 
    Task: {D475C0C5-43A0-4CB6-A8CC-8EBDDAC2E451} - \Microsoft\Windows\Maintenance\WinNAT -> Нет файла <==== ВНИМАНИЕ
    2021-08-28 17:26 - 2021-08-28 17:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign5dc1b573d929796e
    2021-08-28 17:26 - 2021-08-28 17:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign3351d4e8508bd664
    2021-08-21 00:27 - 2021-08-21 00:27 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsignf03bdc63b070e9df
    2021-08-21 00:26 - 2021-08-21 00:26 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsignf90bb5a7194c178a
    2021-08-16 16:09 - 2021-08-16 16:09 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsigna2fbf57852fcfea9
    2021-08-16 16:09 - 2021-08-16 16:09 - 000000000 ____D C:\Users\arahn\AppData\Local\Tempzxpsign08ecd4a6a1167199
    2021-09-05 17:31 - 2021-05-22 14:25 - 000000000 _RSHD C:\ProgramData\Windows
    AlternateDataStreams: C:\Users\arahn\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{5F980B27-C55F-4F52-9192-85468DB5EA09}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{A2EEC73D-2A96-4EC9-B69A-D6BEBBB1518A}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{FD4E7121-CF69-42E2-9211-7C633E68A690}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    05.09.2021
    Сообщений
    3
    Вес репутации
    1
    Вроде он пока не восстановился и не планирует. Если проблема возникнет ещё раз, я знаю куда написать))))) Спасибо Вам большое
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,032
    Вес репутации
    993
    Java 8 Update 281 (64-bit) v.8.0.2810.9 Внимание! Скачать обновления
    Обновите Java.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

  • Уважаемый(ая) Kozzzir, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 18.07.2021, 21:15
    2. Ответов: 21
      Последнее сообщение: 14.03.2018, 21:47
    3. XMRig CPU Miner
      От vimin в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 21.12.2017, 10:00
    4. ati.exe и cuda.exe грузят ГП NVIDIA [not-a-virus:RiskTool.Win32.BitCoinMiner.jtz ]
      От Сергей Филимонов в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 15.01.2014, 21:15
    5. nVidia CUDA: вычисления на видеокарте или смерть CPU?
      От ALEX(XX) в разделе Новости аппаратного обеспечения
      Ответов: 2
      Последнее сообщение: 27.06.2008, 23:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00104 seconds with 20 queries