0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
1 | |
Не могу избавиться от вируса-майнера13.03.2019, 21:41. Показов 87293. Ответов 20
Метки нет (Все метки)
Здравствуйте! Сразу прошу прощения за столько текста – хочу подробнее описать ситуацию. Окончательно замучал вирус майнер. Не пойму, откуда у него конкретно растут ноги… Началось это давно. Есть у меня два ноутбука и два модема для подключения Интернета. Провайдер украинский – Интертелеком. Использовались они раздельно по парах. Почти год назад нужда в двух модемах отпала – пользовались одним только на своём, а когда нужно было – раздавал интернет со своего ноута через прогу VirtualRouter. И тут один раз я заметил, что что-то грузит систему на 52-54%. Захожу в Диспетчер задач – ничего. Нагрузка тоже падает моментально до нормальной. Закрываю Диспетчер, и нагрузка снова повышается до вышеуказанной. Если же открыть Диспетчер и не трогать ноут, то через какое-то время Диспетчер сам закроется, и майнер опять запустится. Мучился я с этим неделю. В конце концов переустановил Винду. Скажу сразу – образ Windows оригинальный, чистый, безо всяких дополнений.
После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог. P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят». P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом. CollectionLog-2019.03.13-20.36.zip
0
|
13.03.2019, 21:41 | |
Ответы с готовыми решениями:
20
Не могу избавиться от вируса майнера. notepad.exe Не могу избавиться от вируса Neshta Помогите, не могу избавиться от вируса! Не могу избавиться от вируса, т.к. он запускается до старта антивируса |
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
13.03.2019, 22:55 [ТС] | 2 |
UPD: вот пример этих множественно продублированных процессов "Eter.exe", "conhost.exe".
Прикрепил новый лог, т.к. в предыдущем их, вроде, не было. Вдруг поможет. CollectionLog-2019.03.13-21.47.zip И ещё зависают вкладки в Опере. Не сразу - через минуты две. Переключаться по ним и закрывать можно, но на прокрутку и клик реакции нет.
0
|
13278 / 7402 / 1565
Регистрация: 06.09.2009
Сообщений: 26,972
|
|
14.03.2019, 00:13 | 3 |
Выполните скрипт в AVZ из папки Autologger
Код
begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\windows\fonts\mysql\puls.exe'); TerminateProcessByName('c:\windows\fonts\mysql\mance.exe'); TerminateProcessByName('c:\windows\fonts\mysql\eter.exe'); TerminateProcessByName('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe'); SetServiceStart('clr_optimization_v4.0.33018_64', 4); QuarantineFile('C:\Windows\svchost.exe',''); QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe',''); QuarantineFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe',''); QuarantineFile('c:\windows\fonts\mysql\puls.exe',''); QuarantineFile('c:\windows\fonts\mysql\mance.exe',''); QuarantineFile('c:\windows\fonts\mysql\eter.exe',''); DeleteFile('c:\windows\fonts\mysql\eter.exe','32'); DeleteFile('c:\windows\fonts\mysql\mance.exe','32'); DeleteFile('c:\windows\fonts\mysql\puls.exe','32'); DeleteFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','32'); DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe','64'); DeleteFile('C:\Windows\svchost.exe','64'); DeleteService('clr_optimization_v4.0.33018_64'); DeleteService('RpcEpt'); DeleteService('MicrosoftMysql'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.
Выполните скрипт в AVZ Код
begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 08:39 [ТС] | 4 |
Карантин отправил через форму отправки. Вот его имя: 2019.03.14_quarantine_09fed207d03b8acd8827aad8dc1fd2e3.7z
Новые логи прикрепил: CollectionLog-2019.03.14-07.38.zip
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 09:57 | 5 |
Подготовьте лог MBAM: https://www.cyberforum.ru/post10030934.html
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 10:42 [ТС] | 6 |
Вот лог МВАМ:
report.txt
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 11:45 | 7 |
Проверьте эти файлы на virustotal ссылки на результат сообщите в следующем сообщении.
Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 12:10 [ТС] | 8 |
64.exe: https://www.virustotal.com/#/f... /detection
c64.exe: https://www.virustotal.com/#/f... /detection Логи FRST: FRST_logs.rar
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 12:58 | 9 |
Отключите до перезагрузки антивирус.
Выделите следующий код: Код
Start:: CreateRestorePoint: C:\WINDOWS\64.EXE C:\WINDOWS\C64.EXE HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: E - E:\Start.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {0b69aa99-0fae-11e8-9267-74c63b793e74} - G:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {226fcd9a-f0c7-11e7-8b1f-74c63b793e74} - E:\Start.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873de86-0044-11e8-873c-74c63b793e74} - E:\Start.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873e00f-0044-11e8-873c-74c63b793e74} - G:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {94456cc4-330c-11e8-8cd9-74c63b793e74} - G:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101975-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101982-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c03bb60c-4f6c-11e8-97ee-74c63b793e74} - G:\startme.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c740da13-f0cc-11e7-b5ac-74c63b793e74} - E:\VZAccess_Manager.exe /z detect HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de352-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de377-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name="BVTConsumer"",Filter="__EventFilter.Name="BVTFilter":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] EmptyTemp: Reboot: End:: Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Установите антивирус, можно бесплатный: https://www.comss.ru/list.php?... &o=&p=#all
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 13:16 [ТС] | 10 |
Сделал. Вот лог:
Fixlog.txt
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 13:22 | 11 |
Что с проблемой?
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 13:45 [ТС] | 12 |
Пока что всё тихо. Поставил Kaspersky Free. Буду наблюдать дальше за ноутом. Обычно эта зараза скачивалась и ставилась во время простоя (где-то больше двух часов; иногда и аж через 2 дня вылазила). Но пока спасибо Вам огромное! Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.
А вообще, что это за вирус такой? Я и сам не раз удалял вручную их, но те пакостили "по-мелкому": файлы скрывали, ставили дом. страницей левые сайты... Но такую настырную гадость вижу впервые. Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал. Да и вообще до этого года полтора без антивируса жил (после окончания лицензии Нортона 360) - такого не было. И ещё такой вопрос: Malwarebytes можно оставлять на ноутах в паре с Касперским или только второй пусть будет?
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 13:56 | 13 |
Новое заражение, новая тема.
Именно оттуда оно и лезет. Ставьте обновления, а иначе заразитесь снова: https://ru.wikipedia.org/wiki/EternalBlue Можно в качестве сканера. Напоследок: 1) Меняйте пароли, один из компонентов трояна - угонщик паролей 2) Дейнсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите 3) Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 14:14 [ТС] | 14 |
Хорошо, первым пунктом сегодня займусь. Лог прикрепил.
SecurityCheck.txt Вечером тогда создам новую тему для лечения другого ноута. Кстати, после очередной переустановки Винды на том ноуте я решил позагружать обновления, правда, не все. Может нужные я как раз и пропустил, т.к. вирус не заставил себя долго ждать.
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 14:21 | 15 |
Ну и этому ноуту тоже надо обновиться:
Сначала лучше поставить это обновление: https://www.catalog.update.mic... =KB3020369 Затем все остальное: Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4489878 Внимание! Скачать обновления K-Lite Codec Pack 11.2.0 Standard v.11.2.0 Внимание! Скачать обновления WinRAR 5.40 (32-bit) v.5.40.0 Внимание! Скачать обновления Microsoft Silverlight v.3.0.40818.0 Внимание! Скачать обновления Viber v.6.8.1.16 Внимание! Скачать обновления ^Необязательное обновление.^ Skype, версия 8.30 v.8.30 Внимание! Скачать обновления + Рекомендации после удаления вредоносного ПО
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 15:27 [ТС] | 16 |
Просканировал только что Касперским полностью систему - тот обнаружил 23 угрозы. Парочка из них - как раз библиотеки эксплойта EternalBlue. Угрозы я удалил. Ниже прикрепил скрин со списком угроз.
Сейчас как раз буду ставить хотфиксы..
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 15:57 | 17 |
Давайте после хотфиксов еще раз логи FRST (старые в корзину перед этим удалите). Проверим, не успел ли проникнуть.
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 17:26 [ТС] | 18 |
Вот логи:
FRST_logs_2.rar После создания логов просканировал Касперским повторно папку Fonts. В результате нашёлся Doublepulsar.dll. Удалил опять, зашёл в папку, а там куча непонятных и в основном пустых тектовых файлов. Но в одном, выделенном, просто несметное количество IP-адресов. И созданы они как раз вчера. Антивирус считает их всех вполне "дружелюбными". Так что думаю этот Doublepulsar.dll подтянулся именно с их помощью. Пока не удалял их.
0
|
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
|
|
14.03.2019, 17:34 | 19 |
Повторного заражения не произошло. В папке запчасти от того же эксплойта. https://ru.wikipedia.org/wiki/DoublePulsar
Можно все удалить. Можно дополнительно подстраховаться, отключив SMB1 и закрыв порты в брандмауэре Windows: Выделите следующий код: Код
Start:: CreateRestorePoint: Powershell: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Powershell: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force Powershell: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove CMD: netsh advfirewall set allprofiles state ON CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=135 name="Block_UDP-135" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=137 name="Block_UDP-137" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=138 name="Block_UDP-138" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=139 name="Block_UDP-139" CMD: ipconfig /flushdns CMD: wmic qfe list EmptyTemp: Reboot: End:: Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
0
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
14.03.2019, 17:56 [ТС] | 20 |
Сделал. Вот лог:
Fixlog.txt
0
|
14.03.2019, 17:56 | |
14.03.2019, 17:56 | |
Помогаю со студенческими работами здесь
20
Не могу избавиться от вируса, который требует отправить СМС Как избавиться от майнера трояна ?! Никак не могу избавиться от вируса Как избавиться от "майнера" - rthdcpl Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |