Показано с 1 по 10 из 10.

Подозрение на майнер (заявка № 227907)

  1. #1
    Junior Member Репутация
    Регистрация
    16.01.2012
    Сообщений
    13
    Вес репутации
    41

    Thumbs up Подозрение на майнер

    На днях произошла странная ситуация: при открытии uTorrent резко повысилась нагрузка на ЦП до 100%, также невозможно было перемещать окна проводника (при попытке перетащить любое окно оно начинало "мерцать" - очень быстро переключался фокус окна). Продлилось все это действо секунд 10 и отпустило. Поначалу значения не придал. Сегодня случилось то же самое, но в довесок ко всему на миг появилось окно с перемещением/копированием какого-то файла (вроде .dll), после чего произвольно открылась реферальная ссылка на криптобиржу Huobi. Подозреваю, что простым удалением uTorrent'а дело не обойдется (если дело вообще в нем), поэтому обратился к вам. Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    372
    Уважаемый(ая) FD God, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".
    Код:
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Start Tor Browser.lnk"           -> ["C:\Users\mazaf\Desktop\Tor Browser\Browser\firefox.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\Tor Browser\Start Tor Browser.lnk"    -> ["C:\Users\mazaf\Desktop\Tor Browser\Browser\firefox.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\игры\FIFA 20.lnk"           -> ["C:\Program Files (x86)\Origin Games\FIFA 20\FIFA20.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\AnyDesk.lnk"           -> ["C:\Program Files (x86)\AnyDesk\AnyDesk.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Driver Booster 7.lnk"  -> ["C:\Program Files (x86)\IObit\Driver Booster\7.5.0\DriverBooster.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\игры\Koikatsu.lnk"          -> ["C:\MOKK\MOKK\ModOrganizer.exe"  =>> "moshortcut://:Koikatsu"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\3ds Max 2021.lnk"      -> ["C:\Program Files\Autodesk\3ds Max 2021\3dsmax.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Clipdiary.lnk"         -> ["C:\Program Files (x86)\Clipdiary\Clipdiary.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\DB Browser (SQLite).lnk"         -> ["C:\Program Files\DB Browser for SQLite\DB Browser for SQLite.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\HandBrake.lnk"         -> ["C:\Program Files\HandBrake\HandBrake.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Internet Download Manager.lnk"   -> ["C:\Program Files (x86)\Internet Download Manager\IDMan.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\IObit Driver Booster.lnk"        -> ["C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\MixMeister BPM Analyzer.lnk"     -> ["C:\Program Files (x86)\MixMeister BPM Analyzer\BpmAnalyzer.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Mp3tag.lnk"  -> ["C:\Program Files (x86)\Mp3tag\Mp3tag.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\MSI Afterburner.lnk"   -> ["C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Process Hacker 2.lnk"  -> ["C:\Program Files\Process Hacker 2\ProcessHacker.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\STDU Viewer.lnk"       -> ["C:\Program Files (x86)\STDU Viewer\STDUViewerApp.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\TeamSpeak 3 Client.lnk"          -> ["C:\Program Files\TeamSpeak 3 Client\ts3client_win64.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\TextTransformer.lnk"   -> ["C:\Program Files (x86)\TextTransformer\bin\tetra.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Torque Constructor.lnk"          -> ["C:\Program Files (x86)\Torque\Constructor\Constructor.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Video Download Capture.lnk"      -> ["C:\Program Files (x86)\Apowersoft\Video Download Capture 6\Video Download Capture 6.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\VK Messenger.lnk"      -> ["C:\Program Files\VK\vk.exe"  =>> --disable-gpu]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\VMware Workstation Pro.lnk"      -> ["C:\Program Files (x86)\VMware\VMware Workstation\vmware.exe"]
    >>>  "C:\Users\mazaf\Documents\Adobe\After Effects CC 2019\User Presets\(Adobe).lnk"       -> ["C:\Program Files\Adobe\Adobe After Effects CC 2019\Support Files\Presets"]
    >>>  "C:\Users\mazaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Uninstall IDM.lnk"  -> ["C:\Program Files (x86)\Internet Download Manager\Uninstall.exe"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Uninstall IDM.lnk"        -> ["C:\Program Files (x86)\Internet Download Manager\Uninstall.exe"]
    >>>  "C:\Users\mazaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\license.lnk"        -> ["C:\Program Files (x86)\Internet Download Manager\license.txt"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\license.lnk"    -> ["C:\Program Files (x86)\Internet Download Manager\license.txt"]
    >>>  "C:\Users\mazaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\IDM Help.lnk"       -> ["C:\Program Files (x86)\Internet Download Manager\idman.chm"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\IDM Help.lnk"   -> ["C:\Program Files (x86)\Internet Download Manager\idman.chm"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Internet Download Manager.lnk"      -> ["C:\Program Files (x86)\Internet Download Manager\IDMan.exe"]
    >>>  "C:\Users\mazaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\TUTORIALS.lnk"      -> ["C:\Program Files (x86)\Internet Download Manager\tutor.chm"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\TUTORIALS.lnk"  -> ["C:\Program Files (x86)\Internet Download Manager\tutor.chm"]
    >>>  "C:\Users\mazaf\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Grabber Help.lnk"   -> ["C:\Program Files (x86)\Internet Download Manager\grabber.chm"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager\Grabber Help.lnk"         -> ["C:\Program Files (x86)\Internet Download Manager\grabber.chm"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Kaspersky Total Security.lnk"    -> ["C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\avpui.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Kaspersky Internet Security.lnk"           -> ["C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 20.0\avpui.exe"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\MPC-HC x64.lnk"        -> ["C:\Program Files\MPC-HC\mpc-hc64.exe"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\REVisionEffects\REVision Effections\DEFlicker Manual.lnk"     -> ["C:\Program Files\REVisionEffects\DEFlicker2AE\DEFlicker2AEManual\DEFlickerManual.pdf"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\REVisionEffects\REVision Effections\RELens Manual.lnk"        -> ["C:\Program Files\REVisionEffects\RELens2AE\RELens2AEManual\RELensManual.pdf"]
    >>>  "C:\Users\mazaf\Desktop\KMS\софт\Battle.net.lnk"        -> ["C:\Program Files (x86)\Battle.net\Battle.net Launcher.exe"]
    >>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CLIP STUDIO\CLIP STUDIO.lnk"    -> ["C:\Program Files\CELSYS\CLIP STUDIO 1.5\CLIP STUDIO\CLIPStudio.exe"]
    Отчёт о работе прикрепите.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O2 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC64.dll (file missing)
    O2-32 - HKLM\..\BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll (file missing)
    O4 - HKCU\..\StartupApproved\Run: [IDMan] = C:\Program Files (x86)\Internet Download Manager\IDMan.exe /onboot (file missing) (2021/06/07)
    O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать все ссылки с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEGetAll.htm (file missing)
    O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скачать с помощью IDM: (default) = C:\Program Files (x86)\Internet Download Manager\IEExt.htm (file missing)
    O22 - Task (.job): (Not scheduled) Восстановление сервиса обновлений Яндекс.Браузера.job - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe (file missing)
    O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (file missing)
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    16.01.2012
    Сообщений
    13
    Вес репутации
    41
    Готово, но образ автозапуска не дает загрузить - превышен лимит. Как удалить старые вложения с 2013 года?
    upd. разобрался, логи приложил.
    Вложения Вложения
    Последний раз редактировалось FD God; 30.11.2022 в 08:57.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.12.3 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    deltmp
    delref %SystemDrive%\USERS\MAZAF\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BMNLCJABGNPNENEKPADLANBBKOOIMHNJ\15.8.1_0\HONEY: AUTOMATIC COUPONS & REWARDS
    delref %SystemDrive%\USERS\MAZAF\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\AAERRPORT.EXE
    delref %SystemDrive%\USERS\MAZAF\APPDATA\LOCAL\TEMP\HWINFO64A_171.SYS
    delref %SystemDrive%\USERS\MAZAF\APPDATA\LOCAL\TEMP\ACTIVEANTICHEAT\1223474\ACTIVE64.SYS
    delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGCEXT.CRX
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
    delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
    delref %SystemDrive%\USERS\MAZAF\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\I2FD7DYQ.DEFAULT-RELEASE\EXTENSIONS\[email protected]
    apply
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    Сделайте проверку в Malwarebytes, Самостоятельно ничего не помещайте в карантин!!!
    Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
    Отчёт прикрепите к сообщению.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    16.01.2012
    Сообщений
    13
    Вес репутации
    41
    Сделано.
    Вложения Вложения
    • Тип файла: rar scan.rar (2.1 Кб, 2 просмотров)

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    Загрузите файл C:\USERS\MAZAF\DESKTOP\KMS\DR0PLAI7TJRX.EXE на virustotal.com и дайте ссылку на результат.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    16.01.2012
    Сообщений
    13
    Вес репутации
    41
    Готово

    - - - - -Добавлено - - - - -

    Все-таки мне очень не нравится как себя ведет uTorrent. При перетаскивании окна (именно этой программы) оно начинает жутко тормозить, проц загружается под 70% + само окно диспетчера задач мерцает с соседними окнами. Никогда такого не было. Переустановил торрент - естественно, не помогло.
    upd. Переустановил uTorrent второй раз, при первом запуске открылась та же самая реф ссылка на криптобиржу.
    Последний раз редактировалось FD God; 30.11.2022 в 12:35.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    34,423
    Вес репутации
    1030
    uTorrent давно ловили на рекламе, ничего необычного.
    Майнеров нет.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    16.01.2012
    Сообщений
    13
    Вес репутации
    41
    Отличный повод снести этот мусор. Спасибо за помощь.

  • Уважаемый(ая) FD God, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 17
      Последнее сообщение: 05.07.2014, 20:07
    2. Ответов: 19
      Последнее сообщение: 22.03.2014, 16:24
    3. Подозрение на биткоин майнер
      От f1x3r в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 05.03.2014, 21:22
    4. Подозрение на Miner\Майнер,загрузка ГП 99%
      От Playerok97 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 23.02.2014, 13:23
    5. Ответов: 10
      Последнее сообщение: 25.01.2014, 22:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00273 seconds with 18 queries