С Новым годом! Форум программистов, компьютерный форум, киберфорум
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
Карта форума Темы раздела Блоги Сообщество Поиск Заказать работу  
 
 
Рейтинг 4.62/480: Рейтинг темы: голосов - 480, средняя оценка - 4.62
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
1

Не могу избавиться от вируса-майнера

13.03.2019, 21:41. Показов 87293. Ответов 20
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Здравствуйте! Сразу прошу прощения за столько текста – хочу подробнее описать ситуацию. Окончательно замучал вирус майнер. Не пойму, откуда у него конкретно растут ноги… Началось это давно. Есть у меня два ноутбука и два модема для подключения Интернета. Провайдер украинский – Интертелеком. Использовались они раздельно по парах. Почти год назад нужда в двух модемах отпала – пользовались одним только на своём, а когда нужно было – раздавал интернет со своего ноута через прогу VirtualRouter. И тут один раз я заметил, что что-то грузит систему на 52-54%. Захожу в Диспетчер задач – ничего. Нагрузка тоже падает моментально до нормальной. Закрываю Диспетчер, и нагрузка снова повышается до вышеуказанной. Если же открыть Диспетчер и не трогать ноут, то через какое-то время Диспетчер сам закроется, и майнер опять запустится. Мучился я с этим неделю. В конце концов переустановил Винду. Скажу сразу – образ Windows оригинальный, чистый, безо всяких дополнений.
После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог.

P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят».

P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом.

CollectionLog-2019.03.13-20.36.zip
0
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
13.03.2019, 21:41
Ответы с готовыми решениями:

Не могу избавиться от вируса майнера. notepad.exe
Здравствуйте, обнаружился на компьютере вирус майнер, Dr. Web cureit нашел 2 файла и я их удалил,...

Не могу избавиться от вируса Neshta
Прошу помочь, недавно(вчера), подхватил Нешту. Провёл проверку Vba32Check, сделал всё как сказано...

Помогите, не могу избавиться от вируса!
Помогите, не могу избавиться от вируса! Антивирусник не находит, не могу скачать музыку, выдаёт:...

Не могу избавиться от вируса, т.к. он запускается до старта антивируса
Распаковал архив, в нем оказался вирус. Из за него при старте хрома открывается страница mail.ru, а...

20
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
13.03.2019, 22:55  [ТС] 2
UPD: вот пример этих множественно продублированных процессов "Eter.exe", "conhost.exe".
Кликните здесь для просмотра всего текста
Не могу избавиться от вируса-майнера


Прикрепил новый лог, т.к. в предыдущем их, вроде, не было. Вдруг поможет.

CollectionLog-2019.03.13-21.47.zip

И ещё зависают вкладки в Опере. Не сразу - через минуты две. Переключаться по ним и закрывать можно, но на прокрутку и клик реакции нет.
0
Вирусоборец
13278 / 7402 / 1565
Регистрация: 06.09.2009
Сообщений: 26,972
14.03.2019, 00:13 3
Выполните скрипт в AVZ из папки Autologger
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
TerminateProcessByName('c:\windows\fonts\mysql\puls.exe');
 TerminateProcessByName('c:\windows\fonts\mysql\mance.exe');
 TerminateProcessByName('c:\windows\fonts\mysql\eter.exe');
 TerminateProcessByName('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe');
 SetServiceStart('clr_optimization_v4.0.33018_64', 4);
 QuarantineFile('C:\Windows\svchost.exe','');
 QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe','');
 QuarantineFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','');
 QuarantineFile('c:\windows\fonts\mysql\puls.exe','');
 QuarantineFile('c:\windows\fonts\mysql\mance.exe','');
 QuarantineFile('c:\windows\fonts\mysql\eter.exe','');
 DeleteFile('c:\windows\fonts\mysql\eter.exe','32');
 DeleteFile('c:\windows\fonts\mysql\mance.exe','32');
 DeleteFile('c:\windows\fonts\mysql\puls.exe','32');
 DeleteFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','32');
 DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe','64');
 DeleteFile('C:\Windows\svchost.exe','64');
 DeleteService('clr_optimization_v4.0.33018_64');
 DeleteService('RpcEpt');
 DeleteService('MicrosoftMysql');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
Код
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.
Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Прикреплять карантин к сообщениям на форуме ЗАПРЕЩЕНО!!! .

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 08:39  [ТС] 4
Карантин отправил через форму отправки. Вот его имя: 2019.03.14_quarantine_09fed207d03b8acd8827aad8dc1fd2e3.7z

Новые логи прикрепил:

CollectionLog-2019.03.14-07.38.zip
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 09:57 5
Подготовьте лог MBAM: https://www.cyberforum.ru/post10030934.html
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 10:42  [ТС] 6
Вот лог МВАМ:
report.txt
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 11:45 7
Проверьте эти файлы на virustotal ссылки на результат сообщите в следующем сообщении.

Generic.Malware/Suspicious, C:\WINDOWS\64.EXE, Проигнорировано пользователем, [0], [392686],1.0.9680
MachineLearning/Anomalous.100%, C:\WINDOWS\C64.EXE, Проигнорировано пользователем, [0], [392687],1.0.9680

Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 12:10  [ТС] 8
64.exe: https://www.virustotal.com/#/f... /detection
c64.exe: https://www.virustotal.com/#/f... /detection

Логи FRST:
FRST_logs.rar
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 12:58 9
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код
Start::
CreateRestorePoint:
C:\WINDOWS\64.EXE
C:\WINDOWS\C64.EXE
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: E - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {0b69aa99-0fae-11e8-9267-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {226fcd9a-f0c7-11e7-8b1f-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873de86-0044-11e8-873c-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873e00f-0044-11e8-873c-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {94456cc4-330c-11e8-8cd9-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101975-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101982-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c03bb60c-4f6c-11e8-97ee-74c63b793e74} - G:\startme.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c740da13-f0cc-11e7-b5ac-74c63b793e74} - E:\VZAccess_Manager.exe /z detect
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de352-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de377-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name="BVTConsumer"",Filter="__EventFilter.Name="BVTFilter"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Установите антивирус, можно бесплатный: https://www.comss.ru/list.php?... &o=&p=#all
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 13:16  [ТС] 10
Сделал. Вот лог:
Fixlog.txt
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 13:22 11
Что с проблемой?
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 13:45  [ТС] 12
Пока что всё тихо. Поставил Kaspersky Free. Буду наблюдать дальше за ноутом. Обычно эта зараза скачивалась и ставилась во время простоя (где-то больше двух часов; иногда и аж через 2 дня вылазила). Но пока спасибо Вам огромное! Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.

А вообще, что это за вирус такой? Я и сам не раз удалял вручную их, но те пакостили "по-мелкому": файлы скрывали, ставили дом. страницей левые сайты... Но такую настырную гадость вижу впервые. Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал. Да и вообще до этого года полтора без антивируса жил (после окончания лицензии Нортона 360) - такого не было.

И ещё такой вопрос: Malwarebytes можно оставлять на ноутах в паре с Касперским или только второй пусть будет?
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 13:56 13
Цитата Сообщение от Gipsy Danger Посмотреть сообщение
Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.
Новое заражение, новая тема.
Цитата Сообщение от Gipsy Danger Посмотреть сообщение
Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал.
Именно оттуда оно и лезет. Ставьте обновления, а иначе заразитесь снова: https://ru.wikipedia.org/wiki/EternalBlue
Цитата Сообщение от Gipsy Danger Посмотреть сообщение
Malwarebytes можно оставлять на ноутах в паре с Касперским
Можно в качестве сканера.

Напоследок:

1) Меняйте пароли, один из компонентов трояна - угонщик паролей
2) Дейнсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите
3) Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 14:14  [ТС] 14
Хорошо, первым пунктом сегодня займусь. Лог прикрепил.
SecurityCheck.txt

Вечером тогда создам новую тему для лечения другого ноута. Кстати, после очередной переустановки Винды на том ноуте я решил позагружать обновления, правда, не все. Может нужные я как раз и пропустил, т.к. вирус не заставил себя долго ждать.
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 14:21 15
Ну и этому ноуту тоже надо обновиться:

Сначала лучше поставить это обновление: https://www.catalog.update.mic... =KB3020369

Затем все остальное:

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления

Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4489878 Внимание! Скачать обновления

K-Lite Codec Pack 11.2.0 Standard v.11.2.0 Внимание! Скачать обновления
WinRAR 5.40 (32-bit) v.5.40.0 Внимание! Скачать обновления
Microsoft Silverlight v.3.0.40818.0 Внимание! Скачать обновления

Viber v.6.8.1.16 Внимание! Скачать обновления
^Необязательное обновление.^
Skype, версия 8.30 v.8.30 Внимание! Скачать обновления


+

Рекомендации после удаления вредоносного ПО
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 15:27  [ТС] 16
Просканировал только что Касперским полностью систему - тот обнаружил 23 угрозы. Парочка из них - как раз библиотеки эксплойта EternalBlue. Угрозы я удалил. Ниже прикрепил скрин со списком угроз.

Кликните здесь для просмотра всего текста
Не могу избавиться от вируса-майнера


Сейчас как раз буду ставить хотфиксы..
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 15:57 17
Давайте после хотфиксов еще раз логи FRST (старые в корзину перед этим удалите). Проверим, не успел ли проникнуть.
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 17:26  [ТС] 18
Вот логи:
FRST_logs_2.rar

После создания логов просканировал Касперским повторно папку Fonts. В результате нашёлся Doublepulsar.dll.
Удалил опять, зашёл в папку, а там куча непонятных и в основном пустых тектовых файлов. Но в одном, выделенном, просто несметное количество IP-адресов. И созданы они как раз вчера. Антивирус считает их всех вполне "дружелюбными". Так что думаю этот Doublepulsar.dll подтянулся именно с их помощью. Пока не удалял их.

Кликните здесь для просмотра всего текста
Не могу избавиться от вируса-майнера
Не могу избавиться от вируса-майнера
0
Вирусоборец
4052 / 2229 / 386
Регистрация: 04.04.2012
Сообщений: 8,168
14.03.2019, 17:34 19
Повторного заражения не произошло. В папке запчасти от того же эксплойта. https://ru.wikipedia.org/wiki/DoublePulsar
Можно все удалить.

Можно дополнительно подстраховаться, отключив SMB1 и закрыв порты в брандмауэре Windows:

Выделите следующий код:

Код
Start::
CreateRestorePoint:
Powershell: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force
Powershell: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Powershell: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=135 name="Block_UDP-135"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=137 name="Block_UDP-137"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=138 name="Block_UDP-138"
CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=139 name="Block_UDP-139"
CMD: ipconfig /flushdns
CMD: wmic qfe list
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
0
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
14.03.2019, 17:56  [ТС] 20
Сделал. Вот лог:
Fixlog.txt
0
14.03.2019, 17:56
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
14.03.2019, 17:56
Помогаю со студенческими работами здесь

Не могу избавиться от вируса, который требует отправить СМС
Помогите справиться с вирусов... Он заблокировал вход в операционную систему и просит отправить смс...

Как избавиться от майнера трояна ?!
Проблема такая: как-то скачал программу с ютуб канала, а там оказался вшит майнер и установился на...

Никак не могу избавиться от вируса
Уже около 3 месяцев очень беспокоит вирус. Суть его заключается в том, что он нагружает проц, не на...

Как избавиться от "майнера" - rthdcpl
Добрый день. На днях вот увидел в диспетчере задач, процесс с названием &quot;rthdcpl&quot;. Как оказалось,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru