Скрытый майнер

@AndaroX · Регистрация: 17.09.2021

Студворк — интернет-сервис помощи студентам

На компе появился майнер. Видеокарта постоянна загружена на 99%, а также есть подозрительный windefender.

@thyrex · 17.09.2021, 18:19

Выполните в безопасном режиме скрипт в AVZ из папки Autologger

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\users\romac\appdata\local\temp\csrss\ettm2205.exe');
 TerminateProcessByName('c:\users\romac\appdata\local\temp\csrss\nupload05053.exe');
 TerminateProcessByName('c:\windows\windefender.exe');
 TerminateProcessByName('c:\users\romac\appdata\local\temp\csrss\ww31.exe');
 SetServiceStart('WinDefender', 4);
 SetServiceStart('Winmon', 4);
 SetServiceStart('WinmonFS', 4);
 SetServiceStart('WinmonProcessMonitor', 4);
 QuarantineFile('c:\users\romac\appdata\local\temp\csrss\nupload05053.exe','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
 QuarantineFile('c:\users\romac\appdata\local\temp\csrss\ww31.exe','');
 QuarantineFile('c:\windows\windefender.exe','');
 QuarantineFile('c:\users\romac\appdata\local\temp\csrss\ettm2205.exe','');
 QuarantineFile('c:\windows\rss\csrss.exe','');
 QuarantineFile('C:\Users\romac\appdata\local\temp\csrss\wup\xarch\wup.exe','');
 DeleteFile('C:\Users\romac\appdata\local\temp\csrss\wup\xarch\wup.exe','32');
 DeleteFile('c:\windows\rss\csrss.exe','32');
 DeleteFile('c:\users\romac\appdata\local\temp\csrss\ettm2205.exe','32');
 DeleteFile('c:\windows\windefender.exe','32');
 DeleteFile('c:\users\romac\appdata\local\temp\csrss\ww31.exe','32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
 DeleteFile('c:\users\romac\appdata\local\temp\csrss\nupload05053.exe','32');
 DeleteSchedulerTask('csrss');
 DeleteService('WinmonFS');
 DeleteService('Winmon');
 DeleteService('WinmonProcessMonitor');
 DeleteService('WinDefender');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','DivineBreeze','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
4
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

@AndaroX · 17.09.2021, 18:40 **[ТС]**

Теперь видюха работает нормально

@thyrex · 17.09.2021, 21:20

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

@AndaroX · 17.09.2021, 21:36 **[ТС]**

Вот

@thyrex · 18.09.2021, 06:10

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\romac\appdata\local\temp\csrss
c:\windows\rss
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6604]
FirewallRules: [TCP Query User{67547D5C-369B-42EA-B971-D8E1621CC8DC}C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{90BD6CF9-2D03-4EBE-A18C-6CDA289CF210}C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe] => (Allow) C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [{4C922EB9-D75A-4A23-BB3A-05B8C22F173B}] => (Block) C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [{1AE8A30B-84AB-4748-B307-94641A8C9A60}] => (Block) C:\users\romac\appdata\roaming\.minecraft\versions\отрыжкаа\runtime\jre-legacy\windows\jre-legacy\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{3F7473A5-9B71-450A-90AE-C6810E02D4F0}D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe] => (Allow) D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe => Нет файла
FirewallRules: [UDP Query User{07A1516C-83A1-4FE4-B489-E6EA277C9474}D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe] => (Allow) D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe => Нет файла
FirewallRules: [{E44281F3-CEDF-468C-AEFF-74C9338699D0}] => (Block) D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe => Нет файла
FirewallRules: [{66057376-BC5B-437F-A8CF-A70F0FB8EEEE}] => (Block) D:\battle.net\call of duty black ops cold war\blackopscoldwar.exe => Нет файла
FirewallRules: [TCP Query User{0029F096-A512-4F22-BF03-593C533556B0}E:\steam\steamapps\common\battlefield 1\bf1.exe] => (Allow) E:\steam\steamapps\common\battlefield 1\bf1.exe => Нет файла
FirewallRules: [UDP Query User{1DA76886-3EA6-470F-B947-4744E7A2125C}E:\steam\steamapps\common\battlefield 1\bf1.exe] => (Allow) E:\steam\steamapps\common\battlefield 1\bf1.exe => Нет файла
FirewallRules: [{A92E1F31-60A8-4A9D-A667-4DBCD36016CE}] => (Block) E:\steam\steamapps\common\battlefield 1\bf1.exe => Нет файла
FirewallRules: [{B753C75D-D60D-46B9-930E-2A3F91F8720B}] => (Block) E:\steam\steamapps\common\battlefield 1\bf1.exe => Нет файла
FirewallRules: [TCP Query User{F2E25226-B361-48AB-9DB4-9F0D1A001FF1}D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe] => (Allow) D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [UDP Query User{81990556-3D61-408B-9C07-155204175FCA}D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe] => (Allow) D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [{DDCF4BB8-2000-412A-97BE-F20F1B7FEBDF}] => (Block) D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [{A1750E55-D613-4921-AAA9-F9EF79907047}] => (Block) D:\torrent\divinity original sin 2 - definitive edition\bin\eocapp.exe => Нет файла
FirewallRules: [TCP Query User{E74793B0-15FE-4C33-BE30-047499DF52BB}D:\games\rake\rake(multiplayer).exe] => (Allow) D:\games\rake\rake(multiplayer).exe => Нет файла
FirewallRules: [UDP Query User{6E905D4B-EEA3-496A-94F3-31CA8E60E4D2}D:\games\rake\rake(multiplayer).exe] => (Allow) D:\games\rake\rake(multiplayer).exe => Нет файла
FirewallRules: [{B8A1C430-33B9-4A9F-A9C2-554C8DCA3A9F}] => (Block) D:\games\rake\rake(multiplayer).exe => Нет файла
FirewallRules: [{FAD568DE-34BF-4892-AFA5-BF4C39628FC2}] => (Block) D:\games\rake\rake(multiplayer).exe => Нет файла
FirewallRules: [TCP Query User{9B4B5D1F-DEBA-4E71-B668-566834E3CC63}D:\epicgames\overcooked2\overcooked2.exe] => (Allow) D:\epicgames\overcooked2\overcooked2.exe => Нет файла
FirewallRules: [UDP Query User{88BF6707-FD80-4C9B-8DAE-9E8D745034FA}D:\epicgames\overcooked2\overcooked2.exe] => (Allow) D:\epicgames\overcooked2\overcooked2.exe => Нет файла
FirewallRules: [TCP Query User{D19576D1-991E-43F7-A804-4C35EB5273F3}D:\epicgames\games from egs\saintsrowthethird\srttr.exe] => (Block) D:\epicgames\games from egs\saintsrowthethird\srttr.exe => Нет файла
FirewallRules: [UDP Query User{DF8708B0-8D4D-4002-84B1-7B012C739821}D:\epicgames\games from egs\saintsrowthethird\srttr.exe] => (Block) D:\epicgames\games from egs\saintsrowthethird\srttr.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@AndaroX · 18.09.2021, 09:12 **[ТС]**

вот

@thyrex · 18.09.2021, 16:40

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

@AndaroX · 18.09.2021, 19:20 **[ТС]**

вот

@thyrex · 19.09.2021, 07:23

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft OneDrive v.21.160.0808.0002 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u301-windows-x64.exe)^

Исправляйте указанное + Рекомендации после удаления вредоносного ПО

@AndaroX · 19.09.2021, 16:43 **[ТС]**

Спасибо

Новые блоги и статьи Все статьи Все блоги /
Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .	Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .
Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .	Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .

@thyrex 14450 / 7489 / 1583 Регистрация: 06.09.2009 Сообщений: 27,133
	17.09.2021, 21:20
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив**) и прикрепите к сообщению. 0

@thyrex 14450 / 7489 / 1583 Регистрация: 06.09.2009 Сообщений: 27,133
	18.09.2021, 16:40
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. 0

@AndaroX 0 / 0 / 0 Регистрация: 17.09.2021 Сообщений: 6
	19.09.2021, 16:43 [ТС]
	Спасибо 0