Живучий вирус-майнер

@JimWalles · Регистрация: 27.01.2018

Студворк — интернет-сервис помощи студентам

Происходит заражение системы со средней продолжительностью в 2-3 недели, после полного форматирования дисков. Постепенно создаются папки "hhsm, min" в папке windows, файл temp1 в папке programdata, файл mssecsvs.exe( опознаётся антивирусом как trojanencoder) в папке windows. антивирусы(anti malware, spider) на ранних этапах периодически вылавливают и блокируют эти файлы, но через определенный временный отрезок вирус получает доступ к процессам и грузит ЦП на 99%, также блокируя подключение к интернету, что происходит не всегда, а в какие-то случайные отрезки( посидел в интернете - зашел в игру, поиграл час - вышел - нет соединения, но перезагрузка помогает. С начала использования antimalware после сканирования все зараженные файлы были удалены, в дальнейшем были частые появления этих файлов в уведомлениях отправки в карантин, чуть позже стало появляться одно-два уведомления за период работы компьютера, и вишенкой на торте, примерно через 2 недели стало выключение антивируса, без возможности включения вручную(программа висла и не реагировала), через день нагрузка ЦП зашкаливала и тормозила систему. Прошло примерно 2 недели после полной фрагментации дисков, сначала появлялись редкие уведомления о блокировке зараженных файлов. 05.02.2018 появился файл temp1 в папке programdata, соединение с интернетом периодически отключается, изредка возникают синие экраны смерти, бывает и 2 раза подряд( не уверен что именно от этого, компьютер-старожил). Заранее извиняюсь, если нагрузка ЦП до вашего лечения зашкалит, и не даст возможности в кратчайшие сроки следовать вашим инструкциям, в этой ситуации вышлю логи после переустановки системы. В оформлении запросов не силён, местами глуповат, спасибо за терпение и понимание. CollectionLog-2018.02.05-20.31.zip

@Sandor · 06.02.2018, 10:34

Здравствуйте!

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@JimWalles · 06.02.2018, 21:27 **[ТС]**

Сделано SecurityCheck.txt

@Sandor · 07.02.2018, 11:10

------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено (-1)
------------------------------- [ HotFix ] --------------------------------
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления

Пока не установите хотфиксы, лечить нет смысла. Лезет через уязвимости системы.

@JimWalles · 08.02.2018, 21:42 **[ТС]**

Добрый вечер. После установки последних двух фиксов (HotFix KB4056894, HotFix KB4056894) при загрузке система работает примерно минуту, потом синий экран смерти (Modification of system code... data was detected), все остальные фиксы ставятся нормально( пробовал 2 раза)( вылеты проверял раз 8 ). Через центр обновления windows тот же эффект. Появился эффект синего экрана с припиской к файлу srv.sys. После переустановки системы в этот раз появились все папки с вирусами, а не как раньше постепенно, так же вписалась программа indus 1.5 в установленные, хотя ничего подобного не ставил, и из папки local/temp посыпались запуски каких-то программ( имена примерно temp1 и т.д.) которые spider блокирует. Следовательно вопрос - стоит ли ставить фиксы, если не все уязвимости системы закроет, т.к. два последних не поставить и если есть вариант решения этой проблемы установки, не подскажите ли вы мне его, желательно с ссылкой на пошаговое руководство. Второй вопрос, а нет ли агрессивного варианта лечения или уничтожения всего что на компьютере, с возможностью предварительно подготовить восстановление необходимых для работы настроек, или литературы по данному восстановлению, соответственно для недалёких пользователей или с пошаговой инструкцией. Заранее благодарю

@Sandor · 09.02.2018, 10:37

Сообщение от JimWalles

После переустановки системы в этот раз появились все папки с вирусами

Поясните - как переустанавливали систему? С форматированием всего диска? Или форматировали один раздел (диск С), а второй (третий) раздел остался старый?

Добавлено через 27 секунд
Или делали переустановку "поверх"?

@JimWalles · 09.02.2018, 15:21 **[ТС]**

Форматировал в эти три раза только один раздел( системный диск С ), но первые два раза папки не появлялись сразу( ради интереса проверял сразу же все адреса, при первом входе в систему), а в третий раз получил целый букет и довесок описанный выше. Когда данный вирус первые пару раз начинал работать и весить систему с нагрузкой ЦП 99%, при переустановке форматировал диск полностью. Важных и нужных файлов для меня в системе не наблюдается, так что можно всё выжечь при необходимости.

@Sandor · 09.02.2018, 15:53

Сообщение от JimWalles

при переустановке форматировал диск полностью

Значит заражена инсталляция, с которой ставите систему.

@JimWalles · 09.02.2018, 20:30 **[ТС]**

Вас понял, спасибо за разъяснение ситуации.

Добавлено через 3 часа 15 минут
Переустановил с полным форматированием жесткого диска, из старой последовательности действий неизменной осталась только флешка, после установки следов вируса не было, поставил только chrome и uttorrent с официальных страниц, минут через 10-15 работы папки снова все появились

;

, возможно ли нахождение данного вируса на загрузочном флеш-носителе, или файл каким-то образом может пережить форматирование? При установке на этапе форматирования разделов освобождается не все место, сотая доля остается ( 56.7 из 56.8) возможно так и должно быть. Попробую установить ещё одну версию инсталляции, и в кратчайшие сроки найти стороннюю флешку с другой установкой, по результатам отпишусь.

@JimWalles · 11.02.2018, 20:58 **[ТС]**

Самое простое решение оказалось самым действенным. Проблема решена. Большое спасибо. С третьего раза с еще одной инсталляцией и исключением загрузки и установки программ из мест которые использовались ранее, система встала без вирусов.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6

	Живучий вирус-майнер 05.02.2018, 20:11. Показов 9567. Ответов 9 Метки нет (Все метки) Происходит заражение системы со средней продолжительностью в 2-3 недели, после полного форматирования дисков. Постепенно создаются папки "hhsm, min" в папке windows, файл temp1 в папке programdata, файл mssecsvs.exe( опознаётся антивирусом как trojanencoder) в папке windows. антивирусы(anti malware, spider) на ранних этапах периодически вылавливают и блокируют эти файлы, но через определенный временный отрезок вирус получает доступ к процессам и грузит ЦП на 99%, также блокируя подключение к интернету, что происходит не всегда, а в какие-то случайные отрезки( посидел в интернете - зашел в игру, поиграл час - вышел - нет соединения, но перезагрузка помогает. С начала использования antimalware после сканирования все зараженные файлы были удалены, в дальнейшем были частые появления этих файлов в уведомлениях отправки в карантин, чуть позже стало появляться одно-два уведомления за период работы компьютера, и вишенкой на торте, примерно через 2 недели стало выключение антивируса, без возможности включения вручную(программа висла и не реагировала), через день нагрузка ЦП зашкаливала и тормозила систему. Прошло примерно 2 недели после полной фрагментации дисков, сначала появлялись редкие уведомления о блокировке зараженных файлов. 05.02.2018 появился файл temp1 в папке programdata, соединение с интернетом периодически отключается, изредка возникают синие экраны смерти, бывает и 2 раза подряд( не уверен что именно от этого, компьютер-старожил). Заранее извиняюсь, если нагрузка ЦП до вашего лечения зашкалит, и не даст возможности в кратчайшие сроки следовать вашим инструкциям, в этой ситуации вышлю логи после переустановки системы. В оформлении запросов не силён, местами глуповат, спасибо за терпение и понимание. CollectionLog-2018.02.05-20.31.zip 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	06.02.2018, 10:34
	Здравствуйте! Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6
	06.02.2018, 21:27 [ТС]
	Сделано SecurityCheck.txt 0

@Sandor 22431 / 15888 / 3076 Регистрация: 08.10.2012 Сообщений: 64,735
	07.02.2018, 11:10
	------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.18230 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Автоматическое обновление отключено (-1) ------------------------------- [ HotFix ] -------------------------------- HotFix KB3145739 Внимание! Скачать обновления HotFix KB3146963 Внимание! Скачать обновления HotFix KB3156013 Внимание! Скачать обновления HotFix KB3156016 Внимание! Скачать обновления HotFix KB3156019 Внимание! Скачать обновления HotFix KB3155178 Внимание! Скачать обновления HotFix KB3153171 Внимание! Скачать обновления HotFix KB3170455 Внимание! Скачать обновления HotFix KB3178034 Внимание! Скачать обновления HotFix KB3185911 Внимание! Скачать обновления HotFix KB3184122 Внимание! Скачать обновления HotFix KB3192391 Внимание! Скачать обновления HotFix KB3197867 Внимание! Скачать обновления HotFix KB3205394 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4019263 Внимание! Скачать обновления HotFix KB4022722 Внимание! Скачать обновления HotFix KB4015546 Внимание! Скачать обновления HotFix KB4025337 Внимание! Скачать обновления HotFix KB4034679 Внимание! Скачать обновления HotFix KB4041678 Внимание! Скачать обновления HotFix KB4056894 Внимание! Скачать обновления HotFix KB4056897 Внимание! Скачать обновления Пока не установите хотфиксы, лечить нет смысла. Лезет через уязвимости системы. 1

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6
	08.02.2018, 21:42 [ТС]
	Добрый вечер. После установки последних двух фиксов (HotFix KB4056894, HotFix KB4056894) при загрузке система работает примерно минуту, потом синий экран смерти (Modification of system code... data was detected), все остальные фиксы ставятся нормально( пробовал 2 раза)( вылеты проверял раз 8 ). Через центр обновления windows тот же эффект. Появился эффект синего экрана с припиской к файлу srv.sys. После переустановки системы в этот раз появились все папки с вирусами, а не как раньше постепенно, так же вписалась программа indus 1.5 в установленные, хотя ничего подобного не ставил, и из папки local/temp посыпались запуски каких-то программ( имена примерно temp1 и т.д.) которые spider блокирует. Следовательно вопрос - стоит ли ставить фиксы, если не все уязвимости системы закроет, т.к. два последних не поставить и если есть вариант решения этой проблемы установки, не подскажите ли вы мне его, желательно с ссылкой на пошаговое руководство. Второй вопрос, а нет ли агрессивного варианта лечения или уничтожения всего что на компьютере, с возможностью предварительно подготовить восстановление необходимых для работы настроек, или литературы по данному восстановлению, соответственно для недалёких пользователей или с пошаговой инструкцией. Заранее благодарю 0

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6
	09.02.2018, 15:21 [ТС]
	Форматировал в эти три раза только один раздел( системный диск С ), но первые два раза папки не появлялись сразу( ради интереса проверял сразу же все адреса, при первом входе в систему), а в третий раз получил целый букет и довесок описанный выше. Когда данный вирус первые пару раз начинал работать и весить систему с нагрузкой ЦП 99%, при переустановке форматировал диск полностью. Важных и нужных файлов для меня в системе не наблюдается, так что можно всё выжечь при необходимости. 0

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6
	09.02.2018, 20:30 [ТС]
	Вас понял, спасибо за разъяснение ситуации. Добавлено через 3 часа 15 минут Переустановил с полным форматированием жесткого диска, из старой последовательности действий неизменной осталась только флешка, после установки следов вируса не было, поставил только chrome и uttorrent с официальных страниц, минут через 10-15 работы папки снова все появились ; ; , возможно ли нахождение данного вируса на загрузочном флеш-носителе, или файл каким-то образом может пережить форматирование? При установке на этапе форматирования разделов освобождается не все место, сотая доля остается ( 56.7 из 56.8) возможно так и должно быть. Попробую установить ещё одну версию инсталляции, и в кратчайшие сроки найти стороннюю флешку с другой установкой, по результатам отпишусь. 0

@JimWalles 0 / 0 / 0 Регистрация: 27.01.2018 Сообщений: 6
	11.02.2018, 20:58 [ТС]
	Самое простое решение оказалось самым действенным. Проблема решена. Большое спасибо. С третьего раза с еще одной инсталляцией и исключением загрузки и установки программ из мест которые использовались ранее, система встала без вирусов. 0