Показано с 1 по 12 из 12.

Похоже на майнер (заявка № 228846)

  1. #1
    Junior Member Репутация
    Регистрация
    24.12.2024
    Сообщений
    5
    Вес репутации
    1

    Похоже на майнер

    Приветствую и здравия, добрые господа!

    Похоже майнер завелся. В бездействии жрет 25-30% от 8ми ядерника.
    Открываю диспетчер задач или process explorer - по нулям.
    Магия какая-то)
    Последний раз редактировалось Valirius2; 25.12.2024 в 07:10.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    382
    Уважаемый(ая) Valirius2, спасибо за обращение на наш форум!

    Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    OFFSGNSAVE
    unload %Sys32%\DIALER.EXE
    ICSUSPEND
    sreg
    
    zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
    addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Trojan.Miner.164 [DrWeb] 7
    
    chklst
    delvir
    
    delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408522843&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
    delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408616467&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.3_0\X-FINDER. SEARCH
    delref %SystemDrive%\PROGRAM FILES\CCLEANER\CCUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
    delref %SystemRoot%\SETUP\SCRIPTS
    delref %Sys32%\TASKS\DRIVER BOOSTER SKIPUAC (USER)
    delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
    delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
    delref %SystemDrive%\PROGRAM FILES\ULTA\MULLVAD-SPLIT-TUNNEL.SYS
    delref %Sys32%\DRIVERS\WACOMVKHID.SYS
    delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
    areg
    apply
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    24.12.2024
    Сообщений
    5
    Вес репутации
    1
    UVS
    Не может сохранить реестр. Сразу после запуска команды - что-то делает, потом пытается реестр сохранить и залипает на этом.
    Пишет:
    Процесс сохранения реестра может занять несколько минут...
    c:\uvs_regback\virtualize
    Активности софта и компа нет. Пробовал ждать 30 минут - тот же результат. Выключение проги через диспетчер задач приводит к BSOD. Так что только рестарт.

    Как бы её запустить так, чтобы она реестр не пыталась сохранить? Или оно нужно зачем-то?

    FRST
    При этом FRST сохраняет реестр без проблем...
    Прицепил его лог. Правда без проработки UVS, ибо она не хочет работать ((
    Вложения Вложения
    Последний раз редактировалось Valirius2; 25.12.2024 в 07:23.

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    В FRST будем только дочищать, нужен будет новый лог после UVS. Майнер весьма живучий. поэтому надо было чистить с виртуализацией реестра.
    Другой скрипт выполните, попробуем прибить без неё:
    Код:
    ;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv11.0
    v400c
    OFFSGNSAVE
    unload %Sys32%\DIALER.EXE
    ICSUSPEND
    
    zoo %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
    addsgn BA6F9BB21DE149A785D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E649062242 10 Trojan.Miner.164 [DrWeb] 7
    
    chklst
    delvir
    
    delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408522843&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
    delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1408616467&FROM=MP3&UID=ST1000NC001-1DY162_Z1D2SSMMXXXXZ1D2SSMM
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\EXTENSIONS\OIKGCNJAMBFOOAIGMDLJBLBAEELMEKEM\2.0.0.3_0\X-FINDER. SEARCH
    delref %SystemDrive%\PROGRAM FILES\CCLEANER\CCUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\TABLETPLUGINS\NPWACOMTABLETPLUGIN.DLL
    delref %Sys32%\TASKS\DRIVER BOOSTER SKIPUAC (USER)
    delref %Sys32%\DRIVERS\ACE-GAME-0.SYS
    delref %SystemDrive%\PROGRAM FILES\ANTICHEATEXPERT\SGUARD\X64\PLUGINS\ACE-SSC-DRV64.SYS
    delref %SystemDrive%\PROGRAM FILES\ULTA\MULLVAD-SPLIT-TUNNEL.SYS
    delref %Sys32%\DRIVERS\WACOMVKHID.SYS
    delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
    apply
    restart
    После перезагрузки приложите лог выполнения скрипта. и сделайте новый лог FRST.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    24.12.2024
    Сообщений
    5
    Вес репутации
    1
    Нде, так ловлю BSOD "Critical Process DIED"... Походу таки винду переставлять надо

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    Попробуйте в безопасном режиме, должно получиться.
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    24.12.2024
    Сообщений
    5
    Вес репутации
    1
    В безопасном режиме получилось.

    Вроде перестало жрать проц. Новый лог от FRST
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    AV: Windows Defender (Disabled - Up to date)
    Сами отключали?

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [ASRock A-Tuning] => [X]
    HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [ASRockRuefi] => [X]
    HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [AF_uuid_2139460] => d1557adf-7356-40a6-8438-23630cb03bb6 (Нет файла)
    HKU\S-1-5-21-3862624505-1093902408-1122981993-1001\...\Run: [AF_counter_2139460] => 12 (Нет файла)
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://mail.ru/cnt/7993/","www.google.com","hxxp://mail.ru/cnt/10445?gp=811036","hxxps://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`,qtjhjlhlih [0]
    AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [191]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4528]
    FirewallRules: [{FFE21813-2330-466F-AB58-2066361A30E6}] => (Allow) C:\Users\user\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
    FirewallRules: [{F544335B-BF9D-46CC-8B95-E820E63FF685}] => (Allow) C:\Users\user\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла
    FirewallRules: [{EF81D2E8-9D06-44CF-8FD4-C6115B86DAD7}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{D8F9E116-2816-46FF-B30F-4E5C8A541829}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{2DFCB5C6-EE5B-480C-8FA8-117721DD99F8}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{CECF0B29-13C0-4590-A9B7-8D936D6B577B}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{10D9DE16-97F4-4B2E-BC7C-70D90A875610}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{559DC4BE-4950-4511-9C73-12A6BE654530}] => (Allow) D:\Загрузки\AnyDesk.exe => Нет файла
    FirewallRules: [{346947D5-B1CD-4759-99EC-E047202A2FA9}] => (Allow) D:\Загрузки\Test_uTorrent_1.8.2\Test uTorrent 1.8.2\uTorrent.exe => Нет файла
    FirewallRules: [{B7521642-5AD0-4F87-834B-8E8C180C29AA}] => (Allow) D:\Загрузки\Test_uTorrent_1.8.2\Test uTorrent 1.8.2\uTorrent.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    StartBatch:
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" >nul
    del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" >nul
    del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*" >nul
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >nul
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >nul
    del /s /q "%userprofile%\AppData\Local\temp\*.*" >nul
    del /s /q C:\Windows\Minidump\*.dmp >nul
    sfc /scannow
    endbatch:
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    24.12.2024
    Сообщений
    5
    Вес репутации
    1
    Файлик прицепляю.

    Еще хотел написать, что
    Vvvyg, ты гениален! Я бы самостоятельно винду переставлял и софт настраивал несколько часов к ряду.
    Это талантище и дико мощная мотивация!

    Ты уже несколько лет тут помогаешь народу. Это даже не талант это божественное проведение и ангельский характер. Желаю тебе, чтобы у тебя всё было офигенно с твоей семьей, много любви, счастья, радости от жизни, деньги приходили под запросы, а желания изменять и улучшать свою жизнь сыпались как из рога изобилия. Спасибо тебе огромное за твои знания и усидчивость))

    А и по дефендеру. Он наверное со сборкой винды выключен был. Думаешь он прям поможет если что?
    Мне тут в каком-то другом форуме написали, что хорошо бы выйти из админской учетки и сидеть на юзерской. А общем не знаю. Есть советы какие-то для ламеров, как защитить себя от криптографов, шифраторов (это самое страшное для меня) и других трояно-вирусов?

    - - - - -Добавлено - - - - -

    Еще хотел спросить про благодарность. Как-то можно тебя отблагодарить на счет куда-то? Или как у вас тут всё устроено в этом плане?
    Вложения Вложения

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    Цитата Сообщение от Valirius2 Посмотреть сообщение
    Ты уже несколько лет тут помогаешь народу.
    Уже лет 11
    Цитата Сообщение от Valirius2 Посмотреть сообщение
    Это даже не талант это божественное проведение и ангельский характер.
    Скорее, привычка...

    Цитата Сообщение от Valirius2 Посмотреть сообщение
    Желаю тебе, чтобы у тебя всё было офигенно с твоей семьей, много любви, счастья, радости от жизни, деньги приходили под запросы, а желания изменять и улучшать свою жизнь сыпались как из рога изобилия. Спасибо тебе огромное за твои знания и усидчивость))
    Спасибо

    Цитата Сообщение от Valirius2 Посмотреть сообщение
    А и по дефендеру. Он наверное со сборкой винды выключен был. Думаешь он прям поможет если что?
    По крайней мере, этот конкретный майнер он знает давно. Правда, общеизвестно, чтобы запустить кряк, патч, активатор, надо обязательно отключить антивирус, он же реагирует на такие безобидные программы

    Цитата Сообщение от Valirius2 Посмотреть сообщение
    Мне тут в каком-то другом форуме написали, что хорошо бы выйти из админской учетки и сидеть на юзерской.
    Неплохо бы, но любые действия, требующие прав администратора повлекут запрос учёттных данных админа, ввод пароля - и дальше что угодно - установка зловреда в т. ч.

    Цитата Сообщение от Valirius2 Посмотреть сообщение
    Есть советы какие-то для ламеров, как защитить себя от криптографов, шифраторов (это самое страшное для меня) и других трояно-вирусов?
    Если коротко - зпускать, устанавливать программы только из проверенных источников. Торрент-тракеры к таковым не относятся Позже чуть подробнее напишу.

    Попробуем восстановить Защитник + ещё надо проверить подозрительную папку.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    Folder: C:\Windows\Setup\Scripts
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\Setup\Scripts"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  13. Это понравилось:


  14. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    36,249
    Вес репутации
    1078
    Рекомендации, которые позволят снизить риск внедрения троянов в систему:

    Держать систему, браузеры, MS Office, Java обновлёнными.

    Использовать антивирус, включённый и обновлённый, хотя бы бесплатный. Ни один антивирус на 100% не защитит от зловреда, он может быть новым и отсутствовать в базах, может быть подписан валидной цифровой подписью, а эвристический анализатор и эмулятор выполнения антивируса не распознают опасный код. Тем не менее, наличие правильно настроенного антивируса сильно повышает уровень безопасности.

    Программы нужно скачивать с сайта производителя, а не по ссылкам с форумов, вконтакте и с торрентов. Не нужно искать программу - нарвётесь на поддельный "комплексный инсталлятор" с рекламными функциями (в лучшем случае), или на майнер/шифровальщик, у большинства популярных программ есть официальные сайты.
    Используйте, по возможности, лицензионный софт (в т. ч. вместо взломанных платных программ - бесплатные аналоги), это реально ведёт к большей защищенности. Постоянный поиск ключей, кряков, патчей, модов, репаков и т. п. обязательно приведёт к тому, что словите какую-нибудь дрянь, сейчас хакеры уже не альтруистичны и монетизируют свой труд как могут.
    Шифровальщик может загрузиться и запуститься даже при открытии специально сформированного документа Word, PDF-файла или просто при посещении веб-страницы с вирусным кодом. Именно поэтому система, MS Office, браузеры, продукты Adobe всегда должны быть обновлёнными, это снижает вероятность подобных атак, но не даёт, опять-таки, полной гарантии безопасности - могут использоваться т. н. уязвимости нулевого дня, не исправленные производителем программы (или вообще ему неизвестные пока).
    WBR,
    Vadim

Похожие темы

  1. Ответов: 11
    Последнее сообщение: 27.04.2017, 20:09
  2. Похоже словил майнер
    От h0llow в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 17.08.2016, 17:11
  3. Похоже я подхватил майнер.
    От Ruzarh в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 10.04.2016, 09:29
  4. Ответов: 2
    Последнее сообщение: 21.06.2015, 01:06
  5. Похоже на майнер
    От Савелий Чич в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 14.05.2015, 21:18

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00995 seconds with 18 queries