|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 1 | |
Не могу избавиться от вируса-майнера13.03.2019, 21:41. Показов 87218. Ответов 20
Метки нет (Все метки)
После переустановки подключил тем же способом Интернет, а вечером опять всё повторилось. Почитав много инфы, пришёл к выводу, что вирус залез в бут-сектор и самовосстанавливается. Отформатировал я диск, пофиксил MBR через /FixMbr и /FixBoot. Думал, что всё позади. Поставил всё заново, подрубил Инет и оставил на ночь включенным. А утром опять то же самое: загрузка на 53%. Потом был момент – поставил Norton Security – он находил вирусы и удалял. Но после окончания лицензии, на третий день всё по новой. Уже не знаю, что делать… А добило сегодня то, что на втором ноуте тоже эта зараза появилась. Но прикол в том, что второй ноут где-то почти год не подключался к Интернету через модем – все время ловил только Wi-Fi или от первого ноута (через прогу VirtualRouter), на котором уже была эта зараза, или от смартфонов. А как только сегодня впервые после такого перерыва подключил к нему модем – вирус объявился буквально через часа три. Ниже прикрепил лог. P.S. В ходе борьбы с вирусом я находил и удалял некоторые его части. Если это делать, то он словно «взбешивался», и начинали открываться куча процессов: «Eter.exe», «cmd.exe», «svchost.exe». Доходило до 200 с хвостиком процессов иногда… Если нужно, могу поподробнее потом описать, где и какие именно «сидят». P.P.S. Первый раз его файлы были в папках Program Files (… x86)/Internet Explorer/bin. Также в файле «hosts» были добавлены различные адреса, типа «xxx.yourmotherfuc*er», «123.xx. hopheylalaley» и т.п. Сейчас этого нет. Подозреваю, что либо новая версия майнера, либо вообще другой майнер, но с тем же принципом. CollectionLog-2019.03.13-20.36.zip
0
|
|
(
| 13.03.2019, 21:41 | |
|
Ответы с готовыми решениями:
20
Помогите, не могу избавиться от вируса!
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 13.03.2019, 22:55 [ТС] | 2 |
|
UPD: вот пример этих множественно продублированных процессов "Eter.exe", "conhost.exe".
Кликните здесь для просмотра всего текста
Прикрепил новый лог, т.к. в предыдущем их, вроде, не было. Вдруг поможет. CollectionLog-2019.03.13-21.47.zip И ещё зависают вкладки в Опере. Не сразу - через минуты две. Переключаться по ним и закрывать можно, но на прокрутку и клик реакции нет.
0
|
|
 13265 / 7389 / 1564
Регистрация: 06.09.2009
Сообщений: 26,953
|
|
| 14.03.2019, 00:13 | 3 |
|
Выполните скрипт в AVZ из папки Autologger
Код
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\windows\fonts\mysql\puls.exe');
TerminateProcessByName('c:\windows\fonts\mysql\mance.exe');
TerminateProcessByName('c:\windows\fonts\mysql\eter.exe');
TerminateProcessByName('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe');
SetServiceStart('clr_optimization_v4.0.33018_64', 4);
QuarantineFile('C:\Windows\svchost.exe','');
QuarantineFile('C:\Windows\Fonts\Mysql\svchost.exe','');
QuarantineFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','');
QuarantineFile('c:\windows\fonts\mysql\puls.exe','');
QuarantineFile('c:\windows\fonts\mysql\mance.exe','');
QuarantineFile('c:\windows\fonts\mysql\eter.exe','');
DeleteFile('c:\windows\fonts\mysql\eter.exe','32');
DeleteFile('c:\windows\fonts\mysql\mance.exe','32');
DeleteFile('c:\windows\fonts\mysql\puls.exe','32');
DeleteFile('c:\programdata\clr_optimization_v4.0.33018_64\svchost.exe','32');
DeleteFile('C:\Windows\Fonts\Mysql\svchost.exe','64');
DeleteFile('C:\Windows\svchost.exe','64');
DeleteService('clr_optimization_v4.0.33018_64');
DeleteService('RpcEpt');
DeleteService('MicrosoftMysql');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Windows PowerShell\PowerShell','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Выполните скрипт в AVZ Код
begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true); end. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 08:39 [ТС] | 4 |
|
Карантин отправил через форму отправки. Вот его имя: 2019.03.14_quarantine_09fed207d03b8acd8827aad8dc1fd2e3.7z
Новые логи прикрепил: CollectionLog-2019.03.14-07.38.zip
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 09:57 | 5 |
|
Подготовьте лог MBAM: https://www.cyberforum.ru/post10030934.html
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 10:42 [ТС] | 6 |
|
Вот лог МВАМ:
report.txt
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 11:45 | 7 |
|
Проверьте эти файлы на virustotal ссылки на результат сообщите в следующем сообщении.
Подготовьте логи FRST: https://www.cyberforum.ru/post7151340.html
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 12:10 [ТС] | 8 |
|
64.exe: https://www.virustotal.com/#/f... /detection
c64.exe: https://www.virustotal.com/#/f... /detection Логи FRST: FRST_logs.rar
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 12:58 | 9 |
|
Отключите до перезагрузки антивирус.
Выделите следующий код: Код
Start::
CreateRestorePoint:
C:\WINDOWS\64.EXE
C:\WINDOWS\C64.EXE
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: E - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {0b69aa99-0fae-11e8-9267-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {226fcd9a-f0c7-11e7-8b1f-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873de86-0044-11e8-873c-74c63b793e74} - E:\Start.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {6873e00f-0044-11e8-873c-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {94456cc4-330c-11e8-8cd9-74c63b793e74} - G:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101975-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {b6101982-f492-11e7-bf4a-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c03bb60c-4f6c-11e8-97ee-74c63b793e74} - G:\startme.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {c740da13-f0cc-11e7-b5ac-74c63b793e74} - E:\VZAccess_Manager.exe /z detect
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de352-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
HKU\S-1-5-21-557406680-597626654-1843573648-1000\...\MountPoints2: {fb0de377-a20f-11e8-98ae-74c63b793e74} - E:\AutoRun.exe
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name="BVTConsumer"",Filter="__EventFilter.Name="BVTFilter"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
End::
Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Установите антивирус, можно бесплатный: https://www.comss.ru/list.php?... &o=&p=#all
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 13:16 [ТС] | 10 |
|
Сделал. Вот лог:
Fixlog.txt
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 13:45 [ТС] | 12 |
|
Пока что всё тихо. Поставил Kaspersky Free. Буду наблюдать дальше за ноутом. Обычно эта зараза скачивалась и ставилась во время простоя (где-то больше двух часов; иногда и аж через 2 дня вылазила). Но пока спасибо Вам огромное! Сейчас тем же образом "вылечу" первый ноут - симптомы идентичны.
А вообще, что это за вирус такой? Я и сам не раз удалял вручную их, но те пакостили "по-мелкому": файлы скрывали, ставили дом. страницей левые сайты... Но такую настырную гадость вижу впервые. Он походу лезет через уязвимости Винды, т.к. никакие екзешники/батники я не скачивал. Да и вообще до этого года полтора без антивируса жил (после окончания лицензии Нортона 360) - такого не было. И ещё такой вопрос: Malwarebytes можно оставлять на ноутах в паре с Касперским или только второй пусть будет?
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 13:56 | 13 |
Сообщение от Gipsy Danger
Сообщение от Gipsy Danger
Сообщение от Gipsy Danger
Напоследок: 1) Меняйте пароли, один из компонентов трояна - угонщик паролей 2) Дейнсталлируйте FRST - переименуйте FRST.exe в Uninstall.exe и запустите 3) Подготовьте лог SecurityCheck by glax24: https://safezone.cc/resources/... 5/download
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 14:14 [ТС] | 14 |
|
Хорошо, первым пунктом сегодня займусь. Лог прикрепил.
SecurityCheck.txt Вечером тогда создам новую тему для лечения другого ноута. Кстати, после очередной переустановки Винды на том ноуте я решил позагружать обновления, правда, не все. Может нужные я как раз и пропустил, т.к. вирус не заставил себя долго ждать.
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 14:21 | 15 |
|
Ну и этому ноуту тоже надо обновиться:
Сначала лучше поставить это обновление: https://www.catalog.update.mic... =KB3020369 Затем все остальное: Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4489878 Внимание! Скачать обновления K-Lite Codec Pack 11.2.0 Standard v.11.2.0 Внимание! Скачать обновления WinRAR 5.40 (32-bit) v.5.40.0 Внимание! Скачать обновления Microsoft Silverlight v.3.0.40818.0 Внимание! Скачать обновления Viber v.6.8.1.16 Внимание! Скачать обновления ^Необязательное обновление.^ Skype, версия 8.30 v.8.30 Внимание! Скачать обновления + Рекомендации после удаления вредоносного ПО
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 15:27 [ТС] | 16 |
|
Просканировал только что Касперским полностью систему - тот обнаружил 23 угрозы. Парочка из них - как раз библиотеки эксплойта EternalBlue. Угрозы я удалил. Ниже прикрепил скрин со списком угроз.
Кликните здесь для просмотра всего текста
Сейчас как раз буду ставить хотфиксы..
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 17:26 [ТС] | 18 |
|
Вот логи:
FRST_logs_2.rar После создания логов просканировал Касперским повторно папку Fonts. В результате нашёлся Doublepulsar.dll. Удалил опять, зашёл в папку, а там куча непонятных и в основном пустых тектовых файлов. Но в одном, выделенном, просто несметное количество IP-адресов. И созданы они как раз вчера. Антивирус считает их всех вполне "дружелюбными". Так что думаю этот Doublepulsar.dll подтянулся именно с их помощью. Пока не удалял их. Кликните здесь для просмотра всего текста
0
|
|
|
3896 / 2109 / 346
Регистрация: 04.04.2012
Сообщений: 7,741
|
|
| 14.03.2019, 17:34 | 19 |
|
Повторного заражения не произошло. В папке запчасти от того же эксплойта. https://ru.wikipedia.org/wiki/DoublePulsar
Можно все удалить. Можно дополнительно подстраховаться, отключив SMB1 и закрыв порты в брандмауэре Windows: Выделите следующий код: Код
Start:: CreateRestorePoint: Powershell: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force Powershell: Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force Powershell: Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -Remove CMD: netsh advfirewall set allprofiles state ON CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name="Block_TCP-135" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name="Block_TCP-445" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=135 name="Block_UDP-135" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=137 name="Block_UDP-137" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=138 name="Block_UDP-138" CMD: netsh advfirewall firewall add rule dir=in action=block protocol=udp localport=139 name="Block_UDP-139" CMD: ipconfig /flushdns CMD: wmic qfe list EmptyTemp: Reboot: End:: Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически.
0
|
|
|
0 / 0 / 0
Регистрация: 06.12.2015
Сообщений: 36
|
|
| 14.03.2019, 17:56 [ТС] | 20 |
|
Сделал. Вот лог:
Fixlog.txt
0
|
|
| 14.03.2019, 17:56 | |
| 14.03.2019, 17:56 | |
|
Помогаю со студенческими работами здесь
20
Как избавиться от майнера трояна ?! Никак не могу избавиться от вируса
Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |
Наверх