Решена Майнер C:\ProgramData\Framework\System.exe

Статус
В этой теме нельзя размещать новые ответы.

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
После CureIt удаления при ребуте пересоздается. Связан с парой других файлов, известный в гугле персонаж, судя по всему.
Буду благодарен за помощь в лечении.
 

Вложения

  • CollectionLog-2017.10.24-22.32.zip
    82.1 KB · Просмотры: 6

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,222
Реакции
2,479
Здравствуйте!

На кибер-форуме тоже ваша тема?
Майнер C:\ProgramData\Framework\System.exe - Лечение компьютерных вирусов - CyberForum.ru
На кибер-форуме
тему закрываю.

Если еще на каком-то форуме создали тему и там не ответили, попросите закрыть. Лечить следует в одном месте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
На вирустотале еще. Если я попрошу закрыть там, то разрешите лечить здесь?
Не знал, что нельзя на разных форумах создавать топики подобные. В правилах вроде не видел такого, когда читал.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,425
Реакции
13,903
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.
На вирустотале еще.
Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
 

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.

Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
Давайте здесь :)
Первое место, где со мной фидбек какой-то получился.
Хватит ли тех логов, что в архиве?
Благодарю!
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,222
Реакции
2,479
Хорошо. Проделайте инструкции из сообщения №2.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,425
Реакции
13,903
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
    ;---------command-block---------
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    bl 31DA8E2C0DFED205907A9132EF92D642 280060
    zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
 

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
Так точно. Проблема появилась сравнительно недавно. Причем майнер толи глючный, толи умный - работает далеко не всегда почему-то.
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
    ;---------command-block---------
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    bl 31DA8E2C0DFED205907A9132EF92D642 280060
    zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
Благодарю! Сейчас сделаю, позже отпишу, если что.
+ потом свежий образ автозапуска.
У вас майнер живёт.
Это сейчас выложить, или подождать ответа?
Отправлял файл карантина через почту.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,201
Реакции
6,377

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,222
Реакции
2,479

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
Ivan submarina, что сейчас с проблемой?
Периодически посматриваю в таск менеджер, вроде все нормально, цп не грузится сильно, и процессы не висят которые висели.
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,425
Реакции
13,903
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
Расширение крутило рекламу. Майнер маскировался под директ х.

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
Майнер маскировался под директ х.
Понял. Я там еще подобную одну папку сносил сам, не помню точно какую правда, сорри. Но по структуре файлов она идентична. В любом случае, большущее спасибо!
 

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
Хм, по адресу C:\ProgramData\Framework снова завелась живность та же в скрытом ехе.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу