• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Закрыто Появляется майнер, нагружающий CPU

Статус
В этой теме нельзя размещать новые ответы.

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Странно, удалось удалить все в "первый прогон" без каких либо сложностей. Скачайте свежую сборку автологера и подготовьте новый комплект логов, только ничего батником не трогайте.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
То есть мне нужно дать заразе залезть в ПК и записать логи?
 

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Если зараза появится, то не удалять самостоятельно, а подготовить логи. Если не получится нужно будет думать в сторону аудита доступа.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
А не будет проще сначала дать запуститься скрипту, который качает заразу и так далее, чтобы было проще это всё отслеживать? Ибо он делает это автоматически.
 

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Тот, что powershell? Можно, быстрее будет. Кстати, зловреда отлично видит защитник windows
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Вот логи
 

Вложения

  • CollectionLog-2020.06.27-15.29.zip
    71.4 KB · Просмотры: 8

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\s\update.exe');
 QuarantineFile('C:\S\Steam.exe', '');
 QuarantineFile('c:\s\update.exe', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys', '');
 DeleteFile('C:\S\Steam.exe', '64');
 DeleteFile('c:\s\update.exe', '32');
 DeleteFile('C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url', '64');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '32');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '64');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys', '64');
 DeleteService('WinRing0_1_2_0');
 DeleteFileMask('C:\S\', '*.*', true);
 DeleteFileMask('C:\Users\support\AppData\Roaming\Sysfiles\', '*.*', true);
 DeleteDirectory('C:\S');
 DeleteDirectory('C:\Users\support\AppData\Roaming\Sysfiles\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SteamSoftware', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [Driver] = C:\Users\support\AppData\Roaming\Sysfiles\update.exe  (file missing)
O4 - HKLM\..\Run: [SteamSoftware] = C:\S\Steam.exe
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url    ->    file:///C:\Users\support\AppData\Roaming\Sysfiles\update.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Вот архив, который вы просили. Ни одной строки не было найдено. Сейчас попробую запустить компьютер ещё раз.
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Вот
Не получилось починить, сейчас попробую под пользователем запустить логгер и сброшу ещё раз логи
 

Вложения

  • CollectionLog-2020.06.27-17.27.zip
    71 KB · Просмотры: 9

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Наша песня хороша...

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

redmanworld

Новый пользователь
Сообщения
17
Реакции
2
Баллы
3
Готово
 

Вложения

  • Reports.7z
    141 байт · Просмотры: 9

akok

Команда форума
Администратор
Сообщения
19,674
Реакции
13,502
Баллы
2,203
Лога нет, сканирование точно было завершено штатно?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
@redmanworld, удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
7,239
Реакции
2,191
Баллы
643
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу