• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Майнер грузит RAM, ломает антивирусы и работу браузеров

Статус
В этой теме нельзя размещать новые ответы.

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Здравствуйте! Мой брат, по глупости своей, заразил компьютер майнером TODO(он же Mysa 1,2,3/Ока/aticonto/S и т.д.) - майнер очень агрессивный: ломает работу и удаляет файлы антивирусов, анти-шпионов, фаерволов и прочего ЗПО, съедает больше 50% RAM и вдобавок, стал закрывать браузеры при попытке зайти на Ваш сайт и подобные ресурсы. Попытки решить проблему самостоятельно ни к чему не привели - очень прошу помощи экспертов! Логи прикрепляю.
 

Вложения

  • CollectionLog-2020.10.09-04.00.zip
    59.3 KB · Просмотры: 10

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
Здравствуйте!

Пролечите систему с помощью KVRT.

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
Advanced SystemCare
IObit Uninstaller 10
Unity Web Player (x64) (All users)
Word 2003, версия null
Word 2013 shareware

После этого соберите новый CollectionLog Автологером.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,734
Реакции
6,018
Баллы
1,008
+ У вас стоит Avast Antivirus и Dr.Web , а антивирус должен быть только один. Удалите второй до создания свежих логов.
 

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Сделано. Вот свежие логи и репорт KVRT:
 

Вложения

  • CollectionLog-2020.10.09-19.11.zip
    46 KB · Просмотры: 8
  • Reports.rar
    47.6 KB · Просмотры: 7

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,977
Реакции
2,139
Баллы
643
"Пофиксите" в HijackThis:
Код:
O25 - WMI Event:  (no consumer) - killmm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath (default) = (no file)
 

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Пофиксил.
 

Вложения

  • HiJackThis.log
    16.7 KB · Просмотры: 6

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
Что с проблемой?
 
  • Like
Реакции: SMS

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
На Ваш сайт уже можно зайти без вылетов) Не могу точно сказать - раньше проверял/следил за процессами на мониторе производительности в Advanced SystemCare, так как при открытии Диспетчер задач - Процессы хитрый "майнер" закрывался, чтобы потом втихаря опять открыться. Есть способ проверить наверняка?
 

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Сделал, вот:
 

Вложения

  • PCPU.zip
    5 KB · Просмотры: 7

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Контрольный в голову(при перезагрузке + 5 мин ожидания = процесс появлялся 100%)
 

Вложения

  • GetCPUUsage.zip
    4.4 KB · Просмотры: 6

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
Смотрится хорошо. Пока завершаем, а там еще понаблюдайте за поведением компьютера.

Подготовьте лог лог SecurityCheck by glax24

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
  • Like
Реакции: SMS

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Базу безопасных файлов AVZ пополнил( 12,3 МБ всего). Лог SecurityCheck прикрепляю. Какие посоветуете антивирус и другое защитное ПО к установке для предотвращения заражений и еще: чем нежелательные программы компании Iobit (ASC и Unistaller)?
 

Вложения

  • SecurityCheck.txt
    14.8 KB · Просмотры: 6

akok

Команда форума
Администратор
Сообщения
19,532
Реакции
13,436
Баллы
2,203
чем нежелательные программы компании Iobit (ASC и Unistaller)?
по поводу Advanced SystemCare.
Да и как ускоритель он не особо эффективен.

По поводу Unistaller, он нужен в отдельный конкретных случаях, для постоянного использования бесполезен.

Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.19103 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
GPL Ghostscript v.9.50 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft .NET Framework 4.7.1 (DEU) v.4.7.02558 Внимание! Скачать обновления
Microsoft .NET Framework 4.7.1 (Deutsch) v.4.7.02558 Внимание! Скачать обновления
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.8.8 v.14.8.8 Внимание! Скачать обновления
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.8173.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.75.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.238 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 53.0.2907.99 v.53.0.2907.99 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 63.0.3368.107 v.63.0.3368.107 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 71.0.3770.148 v.71.0.3770.148 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer, версия 7.52 v.7.52 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.

По последнему блоку, Reg Organizer лучше деинсталлировать.
 
  • Like
Реакции: SMS

SMS

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Спасибо всем огромное - так долго мучился, что аж не верится что проблема решена) Удачи и всего хорошего!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу