Monero CPU miner

@Vaaleraa · Регистрация: 01.05.2011

Студворк — интернет-сервис помощи студентам

Доброго времени суток, случилась беда у меня, а именно:
установил Windows Server 2008 R2 на виртуальную машину, установил VMware tools, активировал ОС, назначил внешний IP, потом приступил к развертыванию Exchange 2010 и внезапно ловлю BSOD. После перезагрузки заметил, что как-то все стало тормозить, иду в диспетчер задач и внезапно обнаруживаю, что нагрузка на ЦП - 100% и грузит всё это winn1t.exe - в описании Monero CPU Miner... решил погуглить, как удалить это дело, но ничего внятного не нашел, кроме какого-то российского антивируса... поэтому прошу помощи здесь

@Sandor · 10.08.2017, 11:44

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя Vaaleraa. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
________________________________________ ______________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Code
begin
 TerminateProcessByName('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe');
 TerminateProcessByName('C:\Windows\Temp\winin1t.exe');
 StopService('Dhcq');
 QuarantineFile('C:\ProgramData\Application Data\Storm\update\%YOUSHIZHUAY%\rpvrm.cc3','');
 QuarantineFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe','');
 QuarantineFile('C:\Windows\Temp\winin1t.exe', '');
 QuarantineFile('c:\windows\temp\8371107.dll', '');
 QuarantineFile('C:\ProgramData\Aebblnroq.psd', '');
 DeleteFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe','32');
 DeleteFile('C:\Windows\Temp\winin1t.exe', '32');
 DeleteFile('c:\windows\temp\8371107.dll', '32');
 DeleteService('Dhcq');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tomcat9\Parameters','ServiceDll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\w3wp\Parameters','ServiceDll');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Пожалуйста, перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
К сообщению прикреплять файл quarantine.zip не нужно!
Подготовьте новый CollectionLog.

@Vaaleraa · 10.08.2017, 12:18 **[ТС]**

готово

@Sandor · 10.08.2017, 12:34

Карантин отправили?

Файл C:\ProgramData\Aebblnroq.psd знаком?

Что с проблемой?

@Vaaleraa · 10.08.2017, 12:40 **[ТС]**

1) Карантин отправил
2) Нету у меня такого файла
3) Проблема решилась
Спасибо огромное!!!
Только вот вопрос остался один: откуда на свежеустановленной ВМ он взялся?

@Sandor · 10.08.2017, 12:49

Сообщение от Vaaleraa

Карантин отправил

Если отправляли по верхней форме, продублируйте по второму варианту. Не пришел пока.

Сообщение от Vaaleraa

вопрос остался один

Попробуем найти ответ.

Выполните скрипт в AVZ при наличии доступа в интернет:

Code
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

@Vaaleraa · 10.08.2017, 13:00 **[ТС]**

1) Отправил повторно
2) Мне почему-то дает ссылки на обновления для Windows 7, хотя у меня установлена Windows Server 2008 R2
3) После всех манипуляций почему-то не запускается установка .NET Framework 3.5 и IIS, выбивает ошибку

@Sandor · 10.08.2017, 13:24

Сообщение от Vaaleraa

Отправил повторно

По-прежнему не пришел. Отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Сообщение от Vaaleraa

почему-то дает ссылки на обновления для Windows 7

Пробуем еще так:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@Vaaleraa · 10.08.2017, 16:00 **[ТС]**

1) архив отправил
2) программа не запускается, пишет, что версия не совместима
Напомню, что у меня Windows Server 2008 R2 x64

@Sandor · 10.08.2017, 16:09

Сообщение от Vaaleraa

архив отправил

Получил и отправлен вирлабам.

Сообщение от Vaaleraa

версия не совместима

Действительно, утилита не поддерживает серверные системы, виноват.

Сообщение от Vaaleraa

не запускается установка .NET Framework 3.5 и IIS, выбивает ошибку

Это еще актуально? Какая ошибка?

@Vaaleraa · 10.08.2017, 16:21 **[ТС]**

Сервисы установились, но установка Exchange теперь пишет ошибку: "There was a problem accessing the registry on this computer. This may happen if the remote registry service is not running. It may also indicate a network problem or that the TCP/IP netbios helper service is not running". Проверил вышеуказанные службы - всё запущено, значит скорее всего "network problem"...

я бы конечно переустановил бы ВМ, но боюсь, что опять словлю майнер и опять вынужден буду проходить все пути...

@Sandor · 10.08.2017, 16:28

На хост системе антивирус установлен?

@Vaaleraa · 10.08.2017, 16:47 **[ТС]**

нет
может посоветуете какой-нибудь?
для VMWare vSphere 6.0

Добавлено через 9 минут
или может ограничиться установкой на ВМ Kaspersky Free?

@Sandor · 10.08.2017, 16:47

Это тоже не для серверной ОС.

@Vaaleraa · 11.08.2017, 11:41 **[ТС]**

ну в любом случае спасибо за помощь!

Новые блоги и статьи Все статьи Все блоги /
Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .
Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	10.08.2017, 11:44
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя Vaaleraa. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ________________________________________ ______________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Code begin TerminateProcessByName('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe'); TerminateProcessByName('C:\Windows\Temp\winin1t.exe'); StopService('Dhcq'); QuarantineFile('C:\ProgramData\Application Data\Storm\update\%YOUSHIZHUAY%\rpvrm.cc3',''); QuarantineFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe',''); QuarantineFile('C:\Windows\Temp\winin1t.exe', ''); QuarantineFile('c:\windows\temp\8371107.dll', ''); QuarantineFile('C:\ProgramData\Aebblnroq.psd', ''); DeleteFile('c:\windows\syswow64\config\systemprofile\appdata\roaming\dhcq\w1ninit.exe','32'); DeleteFile('C:\Windows\Temp\winin1t.exe', '32'); DeleteFile('c:\windows\temp\8371107.dll', '32'); DeleteService('Dhcq'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Tomcat9\Parameters','ServiceDll'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\w3wp\Parameters','ServiceDll'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end. Пожалуйста, перезагрузите компьютер вручную. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы. К сообщению прикреплять файл quarantine.zip не нужно! Подготовьте новый CollectionLog. 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	10.08.2017, 12:34
	Карантин отправили? Файл C:\ProgramData\Aebblnroq.psd знаком? Что с проблемой? 0

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	10.08.2017, 12:40 [ТС]
	1) Карантин отправил 2) Нету у меня такого файла 3) Проблема решилась Спасибо огромное!!! Только вот вопрос остался один: откуда на свежеустановленной ВМ он взялся? 0

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	10.08.2017, 13:00 [ТС]
	1) Отправил повторно 2) Мне почему-то дает ссылки на обновления для Windows 7, хотя у меня установлена Windows Server 2008 R2 3) После всех манипуляций почему-то не запускается установка .NET Framework 3.5 и IIS, выбивает ошибку 0

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	10.08.2017, 16:00 [ТС]
	1) архив отправил 2) программа не запускается, пишет, что версия не совместима Напомню, что у меня Windows Server 2008 R2 x64 0

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	10.08.2017, 16:21 [ТС]
	Сервисы установились, но установка Exchange теперь пишет ошибку: "There was a problem accessing the registry on this computer. This may happen if the remote registry service is not running. It may also indicate a network problem or that the TCP/IP netbios helper service is not running". Проверил вышеуказанные службы - всё запущено, значит скорее всего "network problem"... я бы конечно переустановил бы ВМ, но боюсь, что опять словлю майнер и опять вынужден буду проходить все пути... 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	10.08.2017, 16:28
	На хост системе антивирус установлен? 1

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	10.08.2017, 16:47 [ТС]
	нет может посоветуете какой-нибудь? для VMWare vSphere 6.0 Добавлено через 9 минут или может ограничиться установкой на ВМ Kaspersky Free? 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,729
	10.08.2017, 16:47
	Это тоже не для серверной ОС. 1

@Vaaleraa 4 / 4 / 2 Регистрация: 01.05.2011 Сообщений: 98
	11.08.2017, 11:41 [ТС]
	ну в любом случае спасибо за помощь! 0