Закрыто Появляется майнер, нагружающий CPU

Статус
В этой теме нельзя размещать новые ответы.
Странно, удалось удалить все в "первый прогон" без каких либо сложностей. Скачайте свежую сборку автологера и подготовьте новый комплект логов, только ничего батником не трогайте.
 
То есть мне нужно дать заразе залезть в ПК и записать логи?
 
Если зараза появится, то не удалять самостоятельно, а подготовить логи. Если не получится нужно будет думать в сторону аудита доступа.
 
А не будет проще сначала дать запуститься скрипту, который качает заразу и так далее, чтобы было проще это всё отслеживать? Ибо он делает это автоматически.
 
Тот, что powershell? Можно, быстрее будет. Кстати, зловреда отлично видит защитник windows
 
Вот логи
 

Вложения

  • CollectionLog-2020.06.27-15.29.zip
    71.4 KB · Просмотры: 8
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\s\update.exe');
 QuarantineFile('C:\S\Steam.exe', '');
 QuarantineFile('c:\s\update.exe', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '');
 QuarantineFile('C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys', '');
 DeleteFile('C:\S\Steam.exe', '64');
 DeleteFile('c:\s\update.exe', '32');
 DeleteFile('C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url', '64');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '32');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\update.exe', '64');
 DeleteFile('C:\Users\support\AppData\Roaming\Sysfiles\WinRing0x64.sys', '64');
 DeleteService('WinRing0_1_2_0');
 DeleteFileMask('C:\S\', '*.*', true);
 DeleteFileMask('C:\Users\support\AppData\Roaming\Sysfiles\', '*.*', true);
 DeleteDirectory('C:\S');
 DeleteDirectory('C:\Users\support\AppData\Roaming\Sysfiles\');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SteamSoftware', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - HKCU\..\Run: [Driver] = C:\Users\support\AppData\Roaming\Sysfiles\update.exe  (file missing)
O4 - HKLM\..\Run: [SteamSoftware] = C:\S\Steam.exe
O4 - User Startup: C:\Users\support\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url    ->    file:///C:\Users\support\AppData\Roaming\Sysfiles\update.exe

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Вот архив, который вы просили. Ни одной строки не было найдено. Сейчас попробую запустить компьютер ещё раз.
 
Вот
Не получилось починить, сейчас попробую под пользователем запустить логгер и сброшу ещё раз логи
 

Вложения

  • CollectionLog-2020.06.27-17.27.zip
    71 KB · Просмотры: 9
Наша песня хороша...

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Готово
 

Вложения

  • Reports.7z
    141 байт · Просмотры: 9
Лога нет, сканирование точно было завершено штатно?
 
@redmanworld, удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по ссылке из правил) и повторите CollectionLog.
 
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу