Скрытый майнер на CPU, возможно не один

@Dood76 · Регистрация: 05.06.2018

Author24 — интернет-сервис помощи студентам

Пока меня небыло дома, приходили гости с ихними детьми... Комната была под замком, комп под паролем, но они как-то зашли и начали качать торренты с играми -_- . Как итог нагрузка на CPU и невозможность работать в Premiere Pro, при закрытом диспетчере задач, из-за жутких лагов. Спустя день нашел папку с майнером, удалил её, но мне кажется, что этого недостаточно. Пожалуйста, помогите удалить заразу, если она есть.

@Dood76 · 04.09.2018, 13:14 **[ТС]**

Всё равно проблема решена, спасибо вам =)

@Dood76 · 06.09.2018, 10:34 **[ТС]**

И вот спустя 2 дня он снова появился всё тот же XMRig. По пути C:\Program Files (x86)\Common Files появилась папка с .ini файлом, при упаковке в архив, выскакивают 2 .exe шника, прикрепил архив с папкой к сообщению

@Dood76 · 06.09.2018, 10:34 **[ТС]**

Никакого ПО и файлов не скачивал

@Sandor · 06.09.2018, 11:48

Не нужно выкладывать вирусы на форум.

Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.

@Dood76 · 06.09.2018, 13:14 **[ТС]**

Думал, что файлы помогут определить что за ПО.

@Dood76 · 06.09.2018, 13:16 **[ТС]**

Суть в том, что удаляя саму папку с майнером, он выскакивает вновь дня через 2-3

@Sandor · 06.09.2018, 13:29

Выполните скрипт в UVS.

Код

;uVS v4.0.14 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.3
v400c
BREG
delref %Sys32%\SPOOL\PERFCPI\SVCHOST.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APIVBS\UISRVDLL.EXE
bl D83ED0467ED108E4F8F9688FB43A3AFC 2129920
addsgn 925277DA366AC1CC0B04724E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Miner.uaxq [Kaspersky] 7

zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APIVBS\DLLUIDX.EXE
bl FD33531BE7D49B3C75B46E03F252A496 820224
addsgn BA6F9BB2BD9D48720B9C2D754C217CFBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 BitCoinMiner.gen [Kaspersky] 7

zoo %SystemRoot%\TEMP\LOOS.EXE
chklst
delvir

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите контрольный лог uVS.

@Dood76 · 06.09.2018, 14:06 **[ТС]**

Карантин отправил - лог прикрепил

@Sandor · 06.09.2018, 14:25

Свежий лог SecurityCheck сделайте (инструкция в сообщении 12).

@Dood76 · 06.09.2018, 14:48 **[ТС]**

Прошу

@Sandor · 06.09.2018, 14:51

Я ведь этот отчет не для своего удовольствия прошу.
Закрывайте уязвимые места, иначе так и будете периодически лечиться.

@Dood76 · 06.09.2018, 14:52 **[ТС]**

Да, я понимаю, делаю всё что нужно безо всяких претензий) Вас я могу только отблагодарить. Если просят - делаю

@Dood76 0 / 0 / 0 Регистрация: 05.06.2018 Сообщений: 24
	04.09.2018, 13:14 [ТС]	21
	Всё равно проблема решена, спасибо вам =) 0

@Dood76 0 / 0 / 0 Регистрация: 05.06.2018 Сообщений: 24
	06.09.2018, 10:34 [ТС]	22
	И вот спустя 2 дня он снова появился всё тот же XMRig. По пути C:\Program Files (x86)\Common Files появилась папка с .ini файлом, при упаковке в архив, выскакивают 2 .exe шника, прикрепил архив с папкой к сообщению 0

@Dood76 0 / 0 / 0 Регистрация: 05.06.2018 Сообщений: 24
	06.09.2018, 10:34 [ТС]	23
	Никакого ПО и файлов не скачивал 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	06.09.2018, 11:48	24
	Не нужно выкладывать вирусы на форум. Скачайте AutorunsVTchecker, извлеките из архива и запустите. Не закрывайте окно до окончания работы программы. Подготовьте лог uVS. 0

@Dood76 0 / 0 / 0 Регистрация: 05.06.2018 Сообщений: 24
	06.09.2018, 13:16 [ТС]	26
	Суть в том, что удаляя саму папку с майнером, он выскакивает вновь дня через 2-3 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	06.09.2018, 13:29	27
	Выполните скрипт в UVS. Код ;uVS v4.0.14 [[url]http://dsrt.dyndns.org][/url] ;Target OS: NTv6.3 v400c BREG delref %Sys32%\SPOOL\PERFCPI\SVCHOST.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APIVBS\UISRVDLL.EXE bl D83ED0467ED108E4F8F9688FB43A3AFC 2129920 addsgn 925277DA366AC1CC0B04724E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win32.Miner.uaxq [Kaspersky] 7 zoo %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APIVBS\DLLUIDX.EXE bl FD33531BE7D49B3C75B46E03F252A496 820224 addsgn BA6F9BB2BD9D48720B9C2D754C217CFBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 BitCoinMiner.gen [Kaspersky] 7 zoo %SystemRoot%\TEMP\LOOS.EXE chklst delvir czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Повторите контрольный лог uVS. 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	06.09.2018, 14:25	29
	Свежий лог SecurityCheck сделайте (инструкция в сообщении 12). 0

@Sandor 21550 / 15503 / 2986 Регистрация: 08.10.2012 Сообщений: 63,023
	06.09.2018, 14:51	31
	Я ведь этот отчет не для своего удовольствия прошу. Закрывайте уязвимые места, иначе так и будете периодически лечиться. 1

@Dood76 0 / 0 / 0 Регистрация: 05.06.2018 Сообщений: 24
	06.09.2018, 14:52 [ТС]	32
	Да, я понимаю, делаю всё что нужно безо всяких претензий) Вас я могу только отблагодарить. Если просят - делаю 0

Опции темы