Решена Подозрение на crypto

Статус
В этой теме нельзя размещать новые ответы.
TheFirstNoob

TheFirstNoob

Постоянный участник
Сообщения
426
Решения
1
Реакции
103
Приветствую.

В автозагрузке заметил 2 файла, которые выключены, однако еще вчера их не было. (TrayIt.exe и cpuminer-sse2.exe) Из установленного ПО/Игр и т.п. было только FaceIt клиент (Отдельный клиент для игры CS:GO), но не особо вериться что от него пошла эта зараза. Инсталлятор могу приложить в архив с паролем, если требуется.

В данный момент проблема не наблюдается. Ничего не перегружено, включая видеокарту, но все же перепроверюсь.
 

Вложения

Судя по ярлыкам майнер установлен пользователем, кто еще пользуется компьютером кроме вас?
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код: 
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\crypto\TrayIt!.exe','');
 QuarantineFile('C:\crypto\cpuminer-sse2.exe','');
 DeleteFile('C:\crypto\cpuminer-sse2.exe','32');
 DeleteFile('C:\crypto\TrayIt!.exe','32');
 DeleteFileMask('C:\crypto\', '*', true);
 DeleteDirectory('C:\crypto\');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Полученный архив отправьте при помощи этой формы

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O21 - ShellIconOverlayIdentifiers:     YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive1 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive2 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive3 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive4 -  - (no file)
O21-32 - ShellIconOverlayIdentifiers:  OneDrive5 -  - (no file)
 
Все выполнено успешно. Файлы пропали из автозапуска.
Карантин выслал на указанную форму.

Компьютером пользуются крайне редко, но пользуются. За последние два-три дня точно только я сидел за ним и с большей вероятностью данную проблему вызвал именно Я!
 
Тогда завершаем

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 21.12.2017 11:11:23
Path starting: C:\Users\User\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: User
VersionXML: 4.80is-19.12.2017
___________________________________________________________________________

Windows 10(6.3.14393) (x64) Professional Версия: 1607 Lang: Russian(0419)
Дата установки ОС: 02.03.2017 12:00:14
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 87602 мин.
Статус лицензии: Office 16, Office16ProPlusVL_KMS_Client edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [123.5 Гб] Занято: [73.3 Гб] Свободно: [50.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.1198.14393.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Центр обновления Windows (wuauserv) - Служба остановлена
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (выключен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
FileZilla Client 3.29.0 v.3.29.0
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.38 v.7.38.101 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
MediaGet v.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 131 (64-bit) v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-x64.exe)^
Java SE Development Kit 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u152-windows-x64.exe)^
Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
DJ Java Decompiler v.3.12.12.101 v.3.12.12.101
Java SE Development Kit 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u152-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 22 ActiveX & Plugins 64-bit v.22.0.0.209 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.62.0.3202.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.62.0.3202.62
------------------ [ AntivirusFirewallProcessServices ] -------------------
Служба Защитника Windows (WinDefend) - Служба остановлена
Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
MediaGet v.2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
VKMusic 4 v.4.77.1 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
----------------------------- [ End of Log ] ------------------------------


Большинство ПО в данный момент обновлять не буду т.к. буду скоро перебивать винду с HDD на SSD, а там уже и все свежее поставлю.
Часть служб отключено по собственной воле за ненадобностью, а пакости ловлю я редко, если только никто иной, кроме меня, не сидит за ПК.

Архив: virusinfo_auto_WIN-JU2VLJ**** я отправил по форме.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

S
  • Закрыта
Закрыто Подозрение на вирус HVNC
Ответы
12
Просмотры
318
Sandor
Sandor
Jurok
  • Решено
Вылетает интернет, подозрение на вирусы
2
Ответы
24
Просмотры
1K
Jurok
Jurok
D
Решена ПК гудит и браузер вырубается: подозрение на майнер
Ответы
13
Просмотры
576
Sandor
Sandor
Назад
Сверху Снизу