Решена Хитрый майнер

Статус
В этой теме нельзя размещать новые ответы.

Dezertir163

Новый пользователь
Сообщения
6
Реакции
0
Здравствуйте. Подцепил вирус, из exe'шника, не досмотрел.
Суть проблемы, появляется процесс, который грузит цп на 50 иногда на 100 процентов, началось всё с svchost32.exe находящемся в sysWOW64 и запускающийся не системой, а пользователем , казалось бы всё просто, заверши процесс, выполни простой скрипт в AVZ и проверь свою систему на вирусы.
Проблемы начались с самого начала, завершить процесс нельзя, так как это приводит к выключению системы (При нажатии "завершить процесс" появляется предупреждение), а после этого появляется синий экран смерти, хотел запустить AVZ, но он сразу отключается, появляется на пару секунд и всё (При наборе AVZ в браузере, браузер крашится).
Я зашёл на вторую - чистую систему, удалил с помощью AVZ злополучный процесс и его файл соответственно, проверился Dr.WEB Cureit, MalwareBytes, SpyHunter и AVZ(проверка заняла где-то один день, так как дисковое пространство у меня 3 ТБ)
В этот же день появился новый процесс спустя какое то время, те же симптомы, такое же решение и так пару раз.
Искал различные решения в интернете, там были майнеры попроще и они быстро устранялись, а у меня "Хитрый майнер"
 

Вложения

  • CollectionLog-2018.04.17-16.22.zip
    84.8 KB · Просмотры: 5
Последнее редактирование:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFileF('c:\program files (x86)\zaxar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
 QuarantineFile('c:\programdata\taskbarwindows\winstar.exe', '');
 QuarantineFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "QuickLaunch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Starter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{41219654-CC9F-151D-49C0-E0516EB4888B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{473ACBBF-10BB-5A04-F33E-6AA1D8B87D78}" /F', 0, 15000, true);
 DeleteFile('c:\programdata\taskbarwindows\winstar.exe', '32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe', '32');
 DeleteFileMask('c:\program files (x86)\zaxar', '*', true);
 DeleteDirectory('c:\program files (x86)\zaxar');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','command');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Удалите параметры запуска ярлыков. Лог, который создается после удаления, прикрепите к сообщению.

Подготовьте лог AdwCleaner.
 

Вложения

  • ClearLNK-2018.04.17_16.53.33.log
    4.2 KB · Просмотры: 3
  • AdwCleaner[S00].txt
    4 KB · Просмотры: 4

Вложения

  • AdwCleaner[C00].txt
    3.4 KB · Просмотры: 2
  • CollectionLog-2018.04.17-17.24.zip
    81.1 KB · Просмотры: 1

Вложения

  • Addition.txt
    63.7 KB · Просмотры: 1
  • FRST.txt
    60.7 KB · Просмотры: 1
  • Shortcut.txt
    107.5 KB · Просмотры: 0
Выполните скрипт в Farbar Recovery Scan Tool. Лог, который будет создан после выполнения скрипта, прикрепите к сообщению.
Код:
start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [288]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:CB0AACC9 [288]
MSCONFIG\startupreg: ZaxarLoader => 
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
end
+
Для закрытия уязвимостей вашей системы, сделайте лог, для этого обязательно скачайте свежую версию SecurityCheck by glax24
Перед запуском утилиты на своем компьютере отключите(выгрузите) или приостановите защиту всех ваших антивирусных программ.
Лог, который откроется в блокноте, скопируйте и вставьте в свой ответ, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.
 
@shestale,
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 17.04.2018 18:00:54
Path starting: C:\Users\dezertir.dezertir-ПК\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: dezertir
VersionXML: 4.94is-11.04.2018
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 22.08.2017 19:44:17
Статус лицензии: Windows(R) 7, Professional edition Windows находится в режиме уведомления
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [399.5 Гб] Занято: [300.8 Гб] Свободно: [98.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18762 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Дата установки обновлений: 2017-08-24 01:31:23
Центр обновления Windows (wuauserv) - Служба находится в процессе запуска
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (выключен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------
Malwarebytes (выключен и обновлен)
Windows Defender (включен и устарел)
-------------------------- [ SecurityUtilities ] --------------------------
Malwarebytes, версия 3.4.5.2467 v.3.4.5.2467
Trojan Remover v.6.9.5
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0
Oracle VM VirtualBox 4.1.4 v.4.1.4 Внимание! Скачать обновления
TeamViewer 13 v.13.0.6447 Внимание! Скачать обновления
TeamViewer 13 (TeamViewer) - Служба остановлена
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.0.2.8691
Viber v.6.9.1.77
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.3.44396 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 (64-bit) v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-x64.exe)^
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 26 ActiveX v.26.0.0.126 Внимание! Скачать обновления
Adobe Flash Player 26 NPAPI v.26.0.0.126 Внимание! Скачать обновления
Adobe Flash Player 26 PPAPI v.26.0.0.126 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.17.009.20044 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.65.0.3325.181
--------------------------- [ RunningProcess ] ----------------------------
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.65.0.3325.181
------------------ [ AntivirusFirewallProcessServices ] -------------------
Malwarebytes Service (MBAMService) - Служба остановлена
Защитник Windows (WinDefend) - Служба работает
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
SpyHunter v.4.24.3.4750 Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

Вложения

  • Fixlog.txt
    2 KB · Просмотры: 1
Закрывайте все уязвимости по ссылкам.
Если проблема решена, то на этом всё.
Удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу