Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Подозрение на скрытый майнинг как проверить? (http://forum.oszone.net/showthread.php?t=333357)

Дмитрий336699 22-02-2018 17:40 2799666
Подозрение на скрытый майнинг как проверить?
 
Приветствую!
При переходе по ссылке на одном из форумов, сайт на который зашел завис, после чего мой кулер начал пыжиться :) а потом комп перезагрузился на обновление.
После включения при попытке войти на форум всплыло окно о возможном фишинге, браузер грузил ЦП на 50%. Еще процес .NET runtime optimization service подгружал еще на 30-40% я его остановил. Вообще все это мне не очень нравиться, что посоветуете сделать для поиска и профилактики возможной угрозы?

akok 22-02-2018 22:27 2799705
Добрый вечер.
http://forum.oszone.net/thread-98169.html

Дмитрий336699 24-02-2018 15:33 2799934
Вложений: 1
Вот собрал логи..

Sandor 26-02-2018 11:28 2800222
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Цитата:
App Explorer
MediaGet
Unity Web Player
Служба автоматического обновления программ
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Дмитрий\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe');
 QuarantineFile('C:\Users\AACE~1\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\AACE~1\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('C:\Users\AACE~1\AppData\Roaming\SETUPS~1\ml.py', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\wupdate\wupdate.exe', '');
 QuarantineFileF('c:\users\aace~1\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "setupsk_upd" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "wupdate" /F', 0, 15000, true);
 DeleteFile('C:\Users\AACE~1\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\AACE~1\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('C:\Users\AACE~1\AppData\Roaming\SETUPS~1\ml.py', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\wupdate\wupdate.exe', '32');
 DeleteFileMask('c:\users\aace~1\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\aace~1\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'setupsk_upd');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VtopeBot');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Дмитрий336699 26-02-2018 20:39 2800355
Вложений: 1
Цитата:
Цитата Sandor
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog. »
готово

akok 26-02-2018 22:28 2800395
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Sandor 27-02-2018 10:12 2800475
+
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Дмитрий336699 28-02-2018 20:37 2800805
Вложений: 4
Цитата:
Цитата akok
Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве. »
готово
Цитата:
Цитата Sandor
Прикрепите отчет к своему следующему сообщению. »
готово

Sandor 01-03-2018 09:30 2800872
  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome
      и нажмите Ok.
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

Дмитрий336699 01-03-2018 19:07 2800988
Вложений: 1
Цитата:
Цитата Sandor
Прикрепите отчет к своему следующему сообщению »

Sandor 02-03-2018 09:40 2801066
Еще раз, пожалуйста, повторите логи FRST (сообщение №6)

Дмитрий336699 06-03-2018 19:31 2801988
Вложений: 3
Цитата:
Цитата Sandor
Еще раз, пожалуйста, повторите логи FRST (сообщение №6) »

Sandor 07-03-2018 09:35 2802042
Следы Avast удалите по соотв. инструкции:
Чистка системы после некорректного удаления антивируса.

Затем:
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    SearchScopes: HKU\S-1-5-21-1073683008-998156874-3434212816-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BD3ADA744-7269-4F78-BE5F-FDDE281A5BAF%7D&gp=811014
    SearchScopes: HKU\S-1-5-21-1073683008-998156874-3434212816-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BD3ADA744-7269-4F78-BE5F-FDDE281A5BAF%7D&gp=811014
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=811013
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Дмитрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-09-29] [Legacy]
    FF Extension: (Поиск@Mail.Ru) - C:\Users\Дмитрий\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-09-29] [Legacy]
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811013"
    ContextMenuHandlers1: [QuickShare] -> {A8065B9E-193F-4797-B62D-8F6321E7FCCB} =>  -> No File
    FirewallRules: [{D13D3A6B-F8B9-4FE8-8959-896767AEB238}] => (Allow) C:\Users\Дмитрий\AppData\Local\MediaGet2\mediaget.exe
    FirewallRules: [{F370D498-EB2D-4149-98A4-626D3240DD03}] => (Allow) C:\Users\Дмитрий\AppData\Local\MediaGet2\mediaget.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Дмитрий336699 10-03-2018 17:47 2802586
Вложений: 1
Цитата:
Цитата Sandor
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. »

akok 10-03-2018 20:32 2802626
Что с проблемой?

Дмитрий336699 11-03-2018 23:18 2802805
Цитата:
Цитата akok
Что с проблемой? »
Сейчас протестировал, открыл кучу вкладок в хроме+ несколько программ. Все работает стабильно, загрузка ЦП 15-30%, с диском тоже все хорошо стало, кулер не "напрягается" лишний раз.
Судя по работе ноутбука проблема решена!
Спасибо всем кто помог справиться с неполадками, очередной раз убеждаюсь в огромной пользе данного форума для людей!

Sandor 12-03-2018 10:32 2802849
Проделайте завершающие шаги:
1.
  • Пожалуйста, запустите adwcleaner.exe
  • В меню File (Файл) - выберите Uninstall (Деинсталлировать).
  • Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Дмитрий336699 18-03-2018 17:48 2804076
Вложений: 1
Цитата:
Цитата Sandor
Прикрепите этот файл к своему следующему сообщению. »

Sandor 18-03-2018 18:06 2804081
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.192.16299.0 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.1.44332 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.2.0.2.0 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.28.0.0.127 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.64.0.3282.186 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
MX5 v.5.1.2.3000 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Skype Click to Call v.5.8.8855 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Рекомендации после лечения.


Время: 22:13.

Время: 22:13.
© OSzone.net 2001-