0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
1 | |
Вирус-майнер HostXmrig.exe08.01.2018, 13:42. Показов 10492. Ответов 27
Метки нет (Все метки)
Добрый день.
В папке C:\Windows\ создается папка HhSm, через некоторое время в папке C:\Windows\ создается папка min, в которой находится файл HostXmrig.exe. Этот файл запускается, находиться в процессах и сильно грузит ЦП. Также к этому вирусу имеют отношение файл temp1.exe в c:\ProgramData\, служба AdobeFlashPlayerHash. Антивирусники видят инфицированные файлы (или видят частично), удаляют, но вирус каждый раз появляется снова. Переустановка Windows не помогла. Ранее пытался вычистить вирус самостоятельно. Изначально была установлена программа с названием "indus v 1.5", а в папке c:\ProgramData\ лежала папка indus. После чистки в папке c:\ProgramData\ появилась уже другая папка Rundll с соответствующей службой Rundll. Удаление всех этих папок и и служб не помогло. При каждом запуске системы появляется сообщение о том, что не удается найти файл сценария c:\ProgramData\indus\start.vbs Очень похожая проблема уже рассматривалась на Вашем сайте HostXmrig.exe
0
|
08.01.2018, 13:42 | |
Ответы с готовыми решениями:
27
Вирус-майнер HostXmrig.exe Rundll Вирус-майнер HostXmrig.exe - Удаление вирусов Вирус-майнер HostXmrig.exe - Удаление вирусов Майнер HostXmrig.exe |
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 14:36 | 2 |
Здравствуйте!
Внимание! Рекомендации написаны специально для пользователя lCrashl. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 15:40 [ТС] | 3 |
Готово. Файл quarantine.zip отправил из формы.
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 15:45 [ТС] | 4 |
К сожалению, это не помогло. Папки обновились и процесс HostXmrig.exe уже запущен.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 15:45 | 5 |
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве.
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 15:52 [ТС] | 6 |
Готово.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 15:58 | 7 |
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 16:12 [ТС] | 8 |
Видимо я поспешил, поскольку снял процессы temp1, client и hostXmrig самостоятельно незадолго до Вашего сообщения.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 16:51 | 9 |
Что сейчас с проблемой?
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 16:56 [ТС] | 10 |
Без изменений. Папки HhSm и min, а также файл temp1 в ProgramData обновляются самостоятельно. Сейчас в процессах два temp1.exe и client.exe *32. К сожалению, ничего не помогло.
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 17:11 [ТС] | 12 |
Готово.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 17:20 | 13 |
Выполните скрипт в UVS.
Код
;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv6.1 v400c BREG zoo %SystemRoot%\HHSM\CLIENT.EXE bl E019C4EFAB52427C3158EE7B8388CBA6 1282560 addsgn 9252779A226AC1CC0BC4674EA34F0A991B8ACE04FF0348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Trojan.Win32.Blouiroet.ea [Kaspersky] 7 zoo %SystemDrive%\PROGRAMDATA\TEMP1.EXE bl 6600506C7EEFC0D870A31E011CB974CB 1286748 addsgn 7300F39B556A1F245CE775D965481205ACD6D8EE4EBE3B681D6285BCD98A556CE553E7431EAA88E1ABC0846053B2C9BA7DB9D57455AEA17FC50B8B2FC73DE107 8 Trojan.Win32.Blouiroet.ea [Kaspersky] 7 zoo %SystemRoot%\MIN\HOSTXMRIG.EXE bl CA5A2704626CF154520D1DA2B123DC77 553472 addsgn BA6F9BB2BD5949720B9C2D754C2164FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 RiskTool.Win32.BitMiner.gen [Kaspersky] 7 chklst delvir deldir %SystemRoot%\MIN deldir %SystemRoot%\HHSM czoo deltmp restart Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Соберите свежий лог uVS.
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 17:36 [ТС] | 14 |
Готово.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 17:38 | 15 |
В логах порядок. Как внешне?
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 17:53 [ТС] | 16 |
Пока хорошо. В ProgramDate пусто, в Windows пусто, процессы чисты, служб AdobeFlashPlayerHash и Rundll не наблюдаю. По своему опыту я знаю, что на построение цепочки из вредоносных файлов, процессов и служб может уходить довольно длительное время, в том числе несколько перезагрузок ПК. Я помониторю какое-то время и обязательно Вам отпишусь о присутствии или отсутствии прогресса.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 17:55 | 17 |
Конечно, понаблюдайте.
Проверьте уязвимые места:
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 18:07 [ТС] | 18 |
Готово.
0
|
21561 / 15511 / 2989
Регистрация: 08.10.2012
Сообщений: 63,053
|
|
08.01.2018, 18:12 | 19 |
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено (-1) Восстановление системы отключено ------------------------------- [ HotFix ] -------------------------------- HotFix KB3115858 Внимание! Скачать обновления HotFix KB3140735 Внимание! Скачать обновления HotFix KB3138910 Внимание! Скачать обновления HotFix KB3138962 Внимание! Скачать обновления HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3156016 Внимание! Скачать обновления HotFix KB3156019 Внимание! Скачать обновления HotFix KB3155178 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Reader XI - Russian v.11.0.00 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Есть чем заняться Рекомендации после удаления вредоносного ПО
0
|
0 / 0 / 0
Регистрация: 08.01.2018
Сообщений: 16
|
|
08.01.2018, 18:15 [ТС] | 20 |
Процесс пошел восстанавливаться заново. В ProgramDate уже появился файл temp1.exe
0
|
08.01.2018, 18:15 | |
08.01.2018, 18:15 | |
Помогаю со студенческими работами здесь
20
Майнер HostXmrig.exe indus Майнер HostXmrig.exe indus Майнер HostXmrig.exe - Удаление вирусов HostXmrig.exe Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |