0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
1 | |
Внедрение har har miner-p в процесс lsass, загрузка CPU до 50-60% одним процессом16.06.2023, 18:59. Показов 930. Ответов 21
Метки нет (Все метки)
Процесс lsass начал загружать процессор на 50-60%. Антивирус обнаружил внедрение har har miner-p" в процесс lsass, но сделать с этим ничего не смог. Попытки как-либо приостановить работу процесса приводят к принудительному ребуту ПК.
Прикладываю логи uVS.
0
|
16.06.2023, 18:59 | |
Ответы с готовыми решениями:
21
Достать из .HAR слои (.shp) Win server 2008 r2 standart грузит проц до 95% процесс svhost.exe описание XMRig CPU Miner Странная загрузка CPU процессом audiodg.exe Загрузка ЦП и занимаемая память одним процессом Загрузка CPU процессом Event Collector Command Line Utility |
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
16.06.2023, 20:35 | 2 |
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 07:33 [ТС] | 3 |
Прикрепляю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 08:52 | 4 |
Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код
O4 - HKLM\..\Session Manager: [PendingFileRenameOperations] = C:\Program Files (x86)\Google\Update\1.3.36.242 -> DELETE (file missing) O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file) O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{87695088-5C25-4736-BFDD-8B30223FA99E} - \Microsoft\Windows\Windows Error Reporting\SystemInfo (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{920B28BC-3D0A-4B37-9B37-F123DC9FA40A} - \Microsoft\Windows\Windows Error Reporting\SystemInfoTool (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avanquest Software\Soda PDF Desktop 14 (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\LULU Software\Soda PDF Desktop 14 (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\TVT (empty) O22 - Tasks: (disabled) \Lenovo\Lenovo Service Bridge\S-1-5-21-1243971768-3521296135-4120977615-1001 - C:\Users\Дмитрий\AppData\Local\Programs\Lenovo\Lenovo Service Bridge\LSBUpdater.exe (file missing) O22 - Tasks: ASC_PerformanceMonitor - C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe /Task (file missing) O22 - Tasks: ASC_SkipUac_Дмитрий - C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe /SkipUac (file missing) O22 - Tasks: OneDrive Standalone Update Task-S-1-5-21-1152748529-924715390-3095423772-500 - C:\Users\Дмитрий\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing) O23 - Driver S3: cpuz145 - C:\Windows\temp\cpuz145\cpuz145_x64.sys (file missing) O23 - Driver S3: cpuz150 - C:\Windows\temp\cpuz150\cpuz150_x64.sys (file missing) O23 - Driver S3: iobit_monitor_server2021 - C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys (file missing)
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 09:48 [ТС] | 5 |
Прикладываю обновленные логи, пока что загрузка ЦП процессом осталась.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 09:53 | 6 |
Чем проверяете загрузку? Никаких следов майнера в логах нет и в помине.
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 10:12 [ТС] | 7 |
Скрин загрузки прикладываю. На майнер в процессе lsass изначально начал ругаться AVG, но ничего с ним не сделал.
Логи не сохранились, к сожалению. Сейчас повторно погоняю им проверки, если вылетит - прикреплю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 10:24 | 8 |
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 12:29 [ТС] | 9 |
Прикладываю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 13:08 | 10 |
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
Код
Start:: CloseProcesses: CreateRestorePoint: AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066} HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла) HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла) HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Uninstall 21.220.1024.0005\amd64] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\21.220.1024.0005\amd64" (Нет файла) HKU\S-1-5-21-1243971768-3521296135-4120977615-1002\...\RunOnce: [Uninstall 21.220.1024.0005] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Хозяин\AppData\Local\Microsoft\OneDrive\21.220.1024.0005" (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Unlock: C:\Windows\system32\config\SYSTEM ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => -> Нет файла ContextMenuHandlers3: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} => -> Нет файла FirewallRules: [{7A590F6B-660F-4ABE-9A86-BE454570D5EC}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла FirewallRules: [{7FA883E7-6A31-49DD-A534-F6F2CCB2B186}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла FirewallRules: [{5E7C8288-7530-4D33-931A-BF019F40E76D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла FirewallRules: [{5D152484-F94F-4F0F-A2CB-DBCB05B6A2BC}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe => Нет файла FirewallRules: [TCP Query User{33CA37DA-1F3D-475E-B6AC-A6A17BFE3342}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [UDP Query User{13FE5255-57E4-413C-ACA0-FFA67AFAB71D}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [TCP Query User{19638C08-1B44-456F-AE81-BDEEFDBC2015}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [UDP Query User{1F760526-4795-40A5-8BEE-AC3084ABC2DB}C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\дмитрий\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [{84CE1322-084F-46F8-B709-B87F265EFC62}] => (Allow) C:\Users\Дмитрий\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла FirewallRules: [{9DE9360F-685B-4727-A25A-2D6F6883E08B}] => (Allow) C:\Users\Дмитрий\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла S3 GoogleChromeElevationService1d96b68c40a2a3a; "C:\Program Files\Google\Chrome\Application\112.0.5615.49\elevation_service.exe" [X] S2 SolidWorks Flexnet Server; C:\SolidWorks_Flexnet_Server\lmgrd.exe [X] Reboot: End:: 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 13:31 [ТС] | 11 |
Прикладываю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 13:50 | 12 |
Что сейчас с проблемой?
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
17.06.2023, 16:48 [ТС] | 13 |
Ситуация с загрузкой процессора процессом lsass сохраняется.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
17.06.2023, 18:20 | 14 |
Скачайте Farbar Service Scanner
Запустите. Убедитесь, что отмечены пункты:
Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита. Прикрепите этот файл к своему ответу.
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
18.06.2023, 16:12 [ТС] | 15 |
Прикладываю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
18.06.2023, 16:59 | 16 |
Выполните скрипт в AVZ
Код
begin ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'c:\BITS.log'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\DoSvc', 'c:\DoSvc.log'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\UsoSvc', 'c:\UsoSvc.log'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'c:\wuauserv.log'); end.
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
18.06.2023, 17:08 [ТС] | 17 |
Прикрепляю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
18.06.2023, 17:35 | 18 |
Распакуйте файлы из вложения, двойным кликом по каждому файлу внесите информацию в реестр, перезагрузите компьютер, сделайте новый лог FRST.txt
0
|
0 / 0 / 0
Регистрация: 25.06.2021
Сообщений: 11
|
|
18.06.2023, 18:04 [ТС] | 19 |
Прикрепляю.
0
|
13213 / 7343 / 1558
Регистрация: 06.09.2009
Сообщений: 26,860
|
|
18.06.2023, 18:16 | 20 |
Может быть каким-то образом после восстановления информации в реестре и нагрузка спала?
Если нет, попробуйте отключить автозапуск при старте Process Lasso, перезагрузитесь и проверьте проблему
0
|
18.06.2023, 18:16 | |
18.06.2023, 18:16 | |
Помогаю со студенческими работами здесь
20
Monero CPU miner Обсуждаем бороться CPU Miner Monero CPU miner - ПК2 Monero CPU miner - ПК3 Monero CPU miner - Удаление вирусов Процесс lsass.exe Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |