Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.71/7: Рейтинг темы: голосов - 7, средняя оценка - 4.71
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
1

Monero CPU miner - ПК3

02.11.2017, 09:40. Показов 1277. Ответов 20
Метки нет (Все метки)

Доброго времени суток, помогите плиз с моей бедой. Процессор грузится практически на 100%, Process Explorer показывает, что нагружает систему в основном процесс svchost.exe - в описании Monero CPU (XMR) Miner + еще куча непонятных процессов, помогите плиз все это удалить. Установлена Windows Server 2003 R2, логи прилагаю
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вложения
Тип файла: zip CollectionLog-2017.11.02-09.13.zip (97.3 Кб, 4 просмотров)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
02.11.2017, 09:40
Ответы с готовыми решениями:

Monero CPU miner
Доброго времени суток, случилась беда у меня, а именно: установил Windows Server 2008 R2 на...

Monero CPU miner - ПК2
Доброго времени суток, помогите плиз с моей бедой. Процессор грузится практически на 100%, Process...

Monero CPU miner - Удаление вирусов
Доброго времени суток, помогите плиз с моей бедой. Сегодня заметил, что сильно грузится процессор,...

Обсуждаем бороться CPU Miner
Процессор у меня мощный, поэтому сразу обратил внимание, когда стал грузиться под 80% во время...

20
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
02.11.2017, 10:29 2
Внимание! Рекомендации написаны специально для пользователя Verzila35. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     TerminateProcessByName('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe');
     TerminateProcessByName('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe');
     StopService('ddns');
     StopService('spoolsrvrs');
     StopService('TrkWk');
     StopService('wcvvses');
     StopService('werlsfks');
     StopService('wscsvs');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Adaptec Storage Manager\View README.lnk', '');
     QuarantineFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '');
     QuarantineFile('C:\WINDOWS\Fonts\taskhost.exe', '');
     QuarantineFile('C:\WINDOWS\inf\804\ctfmon.exe', '');
     QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '');
     QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '');
     QuarantineFile('c:\windows\inf\netlibrariestip\000d\1049\5.0\1049\5.0\mms.exe', '');
     QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '');
     DeleteFile('c:\program files (x86)\msbuild\microsoft\windows workflow foundation\v2.5\services.exe', '32');
     DeleteFile('C:\WINDOWS\Fonts\taskhost.exe', '32');
     DeleteFile('C:\WINDOWS\inf\804\ctfmon.exe', '32');
     DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe', '32');
     DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe', '32');
     DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe', '32');
     DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe', '32');
     DeleteService('ddns');
     DeleteService('spoolsrvrs');
     DeleteService('TrkWk');
     DeleteService('wcvvses');
     DeleteService('werlsfks');
     DeleteService('wscsvs');
     RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run', 'CTFMON.EXE');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 3, true);
    end.
    Пожалуйста, перезагрузите компьютер вручную.



  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте лог uVS.
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
02.11.2017, 10:44  [ТС] 3
Спасибо огромное за помощь, сейчас подготовлю лог uVS
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
02.11.2017, 16:08  [ТС] 4
Лог uVS
0
Вложения
Тип файла: 7z SERVERTD_2017-11-02_15-58-27.7z (287.6 Кб, 2 просмотров)
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
02.11.2017, 16:18 5
Выполните скрипт в UVS.
Код
;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv5.2
v400c
BREG
;---------command-block---------
zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\SQL\LSM.EXE
zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000E\0015\MMS.EXE
zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
delall %SystemRoot%\INF\AXPERFLIB\0010\0011\000A\0010\MMS.EXE
zoo %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
delall %SystemRoot%\INF\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\MMS.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MSBUILD\MICROSOFT\WINDOWS WORKFLOW FOUNDATION\V2.5\SERVICES.EXE
zoo %SystemRoot%\INF\804\CTFMON.EXE
delall %SystemRoot%\INF\804\CTFMON.EXE
apply

czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перегрузите компьютер вручную.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Контрольный лог uVS сделайте.
1
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
03.11.2017, 10:02  [ТС] 6
Контрольный лог uVS
0
Вложения
Тип файла: 7z SERVERTD_2017-11-03_08-00-59.7z (281.9 Кб, 2 просмотров)
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
03.11.2017, 10:07 7
В логе порядок. Как внешне?
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
03.11.2017, 10:08  [ТС] 8
Ночь прошла спокойно, полет нормальный на всех 3-х серверах
0
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
03.11.2017, 10:16 9
В завершение:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
03.11.2017, 10:23  [ТС] 10
Да, я уже запускал этот скрипт из предыдущей темы, выполнил все рекомендации, кроме одной:
- Жизненный цикл Windows Server 2003 закончился
Эта рекомендация вряд ли выполнима, т.к. руководство считает, что и так уже достаточно потратилось на антивирус и никаких проблем не должно быть
0
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
03.11.2017, 10:25 11
Понятно.

На заметку: Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
07.11.2017, 09:16  [ТС] 12
Sandor, добрый день. Сегодня с утра заметил, что на этом сервере опять появился процесс Monero CPU (XMR) Miner. Выполнил вышестоящие скрипты, процесс исчез, проверьте, пожалуйста, лог, не осталось ли еще чего-нибудь?
0
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
07.11.2017, 16:13 13
Выполните скрипт в UVS.
Код
;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv5.2
v400c
BREG
dirzoo %SystemRoot%\ADDINS

;---------command-block---------
bl 1A2A4CA1B70DDC90CE5119DC46666C28 108523
zoo %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.54783\MSBUILD\W.EXE
delall %SystemRoot%\INF\NETLIBRARIESTIP\0009\V3.5.54783\MSBUILD\W.EXE
bl 9F0D3B1E31B4A2610127D81FEF268F19 105671
zoo %SystemRoot%\INF\AXPERFLIB\0010\0011\0019\INSTALL.EXE
delall %SystemRoot%\INF\AXPERFLIB\0010\0011\0019\INSTALL.EXE
apply
deldir %SystemRoot%\INF\AXPERFLIB\

czoo
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Перегрузите компьютер вручную.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Еще один свежий лог uVS покажите.
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
07.11.2017, 17:22  [ТС] 14
Контрольный лог uVS
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
09.11.2017, 08:47  [ТС] 15
Sandor, добрый день. Проверьте, пожалуйста, еще раз лог, у меня сегодня опять появился процесс Monero CPU (XMR) Miner. Выполнил вышестоящие скрипты, процесс исчез
0
Вложения
Тип файла: 7z SERVERTD_2017-11-09_08-40-15.7z (282.9 Кб, 2 просмотров)
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
09.11.2017, 09:43 16
Лог в порядке.

Общий ресурс D:\Universal - под паролем?
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
09.11.2017, 13:47  [ТС] 17
D:\Universal - без пароля, а разве можно на папку пароль поставить?
0
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
09.11.2017, 13:51 18
Нет, но общий доступ и безопасность можно настроить на определенного пользователя или группу, для которой уже задать пароль.
0
0 / 0 / 0
Регистрация: 01.11.2017
Сообщений: 73
09.11.2017, 13:54  [ТС] 19
Пользователи все с паролями (пароли 8-ми значные, цифры, буквы - заглавные, прописные)
0
Вирусоборец
16230 / 13292 / 2352
Регистрация: 08.10.2012
Сообщений: 53,986
09.11.2017, 14:02 20
Пересмотрите права пользователям, имеющим полный доступ к серверу. Смените пароли.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
09.11.2017, 14:02

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Win server 2008 r2 standart грузит проц до 95% процесс svhost.exe описание XMRig CPU Miner
Доброго времени суток. Win server 2008 r2 standart грузит проц до 95%...

Шифровальщик INKOGNITO7000@TUTAMAIL.COM - ПК3
Здравствуйте. Зашифрованы файлы с расширением !____________INKOGNITO7000@TUTAMAIL.COM_________.SPG...

FUST.zip и подмена папок *.vbs скриптами ПК3
Добрый день! Три ПК в локальной сети заражены этим вирусом, выкладываю логи с третьего ПК....

Адреса кошельков в блокчейне Monero
Нужно решить нетривиальную задачу: есть вполне конкретная криптовалюта - Monero, для которой нужно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.