Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.82/11: Рейтинг темы: голосов - 11, средняя оценка - 4.82
0 / 0 / 0
Регистрация: 14.10.2020
Сообщений: 2
1

Очередной майнер маскируется под NT Kernel & System

14.10.2020, 10:00. Показов 2151. Ответов 3
Метки нет (Все метки)

Примерно месяц не обращал на это внимания, пока комп в режиме простоя не начинал гудеть, как под большой нагрузкой. При открытии диспетчера задач нагрузка на ЦП падает и шум уменьшается. Так же блокируются сайты антивирусов, некоторые программы, а диспетчер задач сам закрывается.
Пока делал логи обнаружил, что логер майнер тоже может закрыть. Поэтому во время составления логов периодически завершал процесс майнера
0

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Вложения
Тип файла: zip CollectionLog-2020.10.14-09.57.zip (63.4 Кб, 7 просмотров)
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
14.10.2020, 10:00
Ответы с готовыми решениями:

Троян(или майнер), который маскируется под процессом NT Kernel and System
НЕдавно столкнулся с проблемой: производительность моего компьютера резко понижалась в отдельные...

Вирус маскируется под nt kernel & system
Вирус не даёт переустановить windows, установить антивирусы, блокирует некоторые сайты, закрывает...

Майнер маскируется под Realtek HD Audio. Как вылечить комп?
Недавно заметил, что комп начал виснуть. Поначалу думал, что проблема с охлаждением видюхи. Через...

Что-то маскируется под системные процессы и грузит систему (подозреваю майнер)
Доброго времени. Сегодня, после загрузки системы заметил, что все действия происходят с задержкой....

3
Вирусоборец
16635 / 13598 / 2457
Регистрация: 08.10.2012
Сообщений: 55,144
14.10.2020, 12:26 2
Лучший ответ Сообщение было отмечено dollycatt как решение

Решение

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя dollycatt. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    {Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
    var
    ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders : TStringList;
    
    procedure FillList;
    begin
     PD_folders := TStringList.Create;
     PD_folders.Add('360TotalSecurity');
     PD_folders.Add('360safe');
     PD_folders.Add('AVAST Software');
     PD_folders.Add('Avg');
     PD_folders.Add('Avira');
     PD_folders.Add('ESET');
     PD_folders.Add('Indus');
     PD_folders.Add('Kaspersky Lab Setup Files');
     PD_folders.Add('Kaspersky Lab');
     PD_folders.Add('MB3Install');
     PD_folders.Add('Malwarebytes');
     PD_folders.Add('McAfee');
     PD_folders.Add('Norton');
     PD_folders.Add('grizzly');
     PD_folders.Add('RealtekHD');
     PD_folders.Add('RunDLL');
     PD_folders.Add('Setup');
     PD_folders.Add('System32');
     PD_folders.Add('Windows');
     PD_folders.Add('WindowsTask');
     PD_folders.Add('install');
     PF_folders := TStringList.Create;
     PF_folders.Add('360');
     PF_folders.Add('AVAST Software');
     PF_folders.Add('AVG');
     PF_folders.Add('ByteFence');
     PF_folders.Add('COMODO');
     PF_folders.Add('Cezurity');
     PF_folders.Add('Common Files\McAfee');
     PF_folders.Add('ESET');
     PF_folders.Add('Enigma Software Group');
     PF_folders.Add('GRIZZLY Antivirus');
     PF_folders.Add('Kaspersky Lab');
     PF_folders.Add('Malwarebytes');
     PF_folders.Add('Microsoft JDX');
     PF_folders.Add('Panda Security');
     PF_folders.Add('SpyHunter');
     PF_folders.Add('RDP Wrapper');
     O_folders := TStringList.Create;
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
     O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
     O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
     O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
     O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
    end;
    
    procedure Del_folders(path:string; AFL : TStringList);
    var
    i : integer;
    begin
     for i := 0 to AFL.Count - 1 do
     begin
      fname := NormalDir(path + AFL[i]);
      if DirectoryExists(fname) then
    	  begin
    		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
    		  DeleteFileMask(fname, '*', true);
    		  DeleteDirectory(fname);
    	  end;
     end;
    end;
    
    procedure swprv;
    begin
     ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
     RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
     RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
     RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
     OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
     if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
     ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
     ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
    end;
    
    procedure  AV_block_remove;
    begin
     clearlog;
     FillList;
     ProgramData := GetEnvironmentVariable('ProgramData');
     ProgramFiles := NormalDir('%PF%');
     ProgramFiles86 := NormalDir('%PF% (x86)');
     Del_folders(ProgramData +'\', PD_folders);
     Del_folders(ProgramFiles, PF_folders);
     Del_folders(ProgramFiles86, PF_folders);
     Del_folders('', O_folders);
     ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
     RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
     RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
     swprv;
     if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
     SaveLog(GetAVZDirectory +'AV_block_remove.log');
     PD_folders.Free;
     PF_folders.Free;
     O_folders.Free;
     ExecuteWizard('SCU', 2, 3, true);
     ExecuteSysClean;
    end;
    
    begin
     AV_block_remove;
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     ExecuteRepair(13);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    После перезагрузки, выполните такой скрипт:

    Код
    begin
     DeleteFile(GetAVZDirectory+'quarantine.7z');
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
    end.
  2. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
    К сообщению прикреплять файл quarantine.7z не нужно!


  3. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
    (Если не помещаются, упакуйте).
    Подробнее читайте в этом руководстве.
1
0 / 0 / 0
Регистрация: 14.10.2020
Сообщений: 2
14.10.2020, 16:07  [ТС] 3
Вы лучшие
0
Вложения
Тип файла: rar FRST+Addition.rar (13.7 Кб, 1 просмотров)
Вирусоборец
16635 / 13598 / 2457
Регистрация: 08.10.2012
Сообщений: 55,144
14.10.2020, 16:56 4
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2117206273-3094839274-1932520590-1001\...\Policies\Explorer: [DisallowRun] 1
    Task: {D08BE24A-48CE-47F6-B19A-80BB68DDD2FF} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    Task: {D51C2CA0-6A81-4955-BEC3-83CCD3AB6400} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
    Task: {D597BB22-2504-4D9A-9A31-BCCC653EB0F0} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ATTENTION
    2020-10-14 15:57 - 2020-09-02 12:03 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-10-14 15:57 - 2020-09-02 12:03 - 000000000 __SHD C:\ProgramData\RealtekHD
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
14.10.2020, 16:56

Kernel & Systems вирус майнер
Добрый день! Вирус грузит процессор, температура до 90 градусов поднимается. Открываю диспетчер...

NT Kernel & Systems вирус майнер заражен 2-ой ноутбук
Добрый день! Второй мой ноутбук заразился одним и тем же вирусом. Все симптомы совпадают. NT...

System NT Kernel & System CPU грузит
здравствуйте, после установки SSD (kingston hyperx fury) установил чистую windows 10, но по...

System от NT Kernel & System и его заскоки
Здравствуйте, светлые головы. System забирает 10% моего проца и более по своему желанию. Что...

Майнер маскирующийся под Realtek и NT Kernel
Приветствую, в один момент в диспетчере задач начали появляться процессы RealTek и NT Kernel сильно...

Майнер маскирующийся под Realtek и NT Kernel
Приветствую, подозреваю что после скачивания фотошопа и интернета, компьютер начал грузится за все...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
4
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.