Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Помогите удалить скрытый майнер (http://forum.oszone.net/showthread.php?t=336593)

andres1602 08-09-2018 12:24 2830536
Помогите удалить скрытый майнер
 
Вложений: 3
Добрый день!
Обнаружил у себя скрытый майнер, который подгружает систему. При открытии диспетчера задач он "затихает" т.е. ресурсы освобождаются. Нашел тут похожую темуhttp://forum.oszone.net/thread-299306.html
Хочу попробовать вылечить с помощью FRST Помогите пожалуйста создать fixlist.txt
отчеты FRST.txt, Addition.txt, Shortcut.txt прикрепляю. Заранее спасибо!

Sandor 09-09-2018 16:57 2830666
Здравствуйте!

Начните со стандартных отчетов по правилам:
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

andres1602 10-09-2018 20:18 2830794
Вложений: 1
Цитата:
Цитата Sandor
Здравствуйте!
Начните со стандартных отчетов по правилам:
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. »
Вот пожалуйста

Sandor 11-09-2018 09:01 2830851
В логах нет ничего плохого (вирусоподобного).

Как вы определяете, что система "подгружается"?
Скачок при открытии Диспетчера задач ни о чем не говорит. ДЗ - тоже программа, для запуска которой нужны ресурсы процессора.

andres1602 11-09-2018 09:50 2830857
Ранее при загрузке системы и отсутствии каких либо действий со стороны пользователя загрузка процессора была 0-2%, теперь же 25-26% + антивирус NOD "ругается" при загрузке, что нежелательное ПО имеется на компьютере- win64/CoinMiner.DN и далее и что-то вроде svchost (цифры разные)=оперативная память , точно не помню, сейчас не дома я , на работе. П.С. сделаю вечероv скрин, если нужно) Предлагает его очистить раз 5 или даже более. Я очищаю, но ничего не происходит. Процессор также подгружен на 25%. При открытии диспетчера задач windows все приходит в норму -загрузка проца опускается до 0-2% примерно, темп. процессора тоже на неск. градусов ниже становится. Скачал альтернативный диспетчер -там видно, что грузит систему один из процессов svchost , кстати запущенный от имени пользователя (не от системы). Самое интересное, что не создается вирусный svchost где то в ином месте, а поселилась зарази именно в сист. файле С:/Windows/system32/.... Я прогонял систему avz утилитой, drweb curiet, malwarebytes, hitmanpro, не говоря про свой родной NOD. Кстати при отключении интернета майнер не работает-загрузка падает процессора да 0 -все в норме!
Видимо придется windows переуст., раз такое дело.

Sandor 11-09-2018 09:58 2830859
Когда появится возможность, сделайте следующее:
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

andres1602 11-09-2018 10:18 2830862
Цитата:
Цитата Sandor
Когда появится возможность, сделайте следующее: »
Сделаю вечером. Спасибо.

п.с. прошу прощения, не знаю важно это или нет, но когда я делал логи, то запускал AutoLogger не от имени администратора (win7 у меня)

andres1602 11-09-2018 23:11 2830968
Вложений: 1
Прикрепляю лог uVS

Sandor 12-09-2018 09:06 2830990
Тут у вас находится очень устаревшая версия
Цитата:
C:\PROGRAM FILES\AVZ\AVZ4\AVZ.EXE
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.15 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\NZXT\CAM\CAM_V3.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    apply

    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

andres1602 12-09-2018 18:04 2831046
Все сделал, дальше что? Проблема осталась, к сожалению....

п.с. Кстати когда запускаю утилиту uVS под текущим пользователем вижу
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1728], tid=1800
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1728], tid=1808
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1728], tid=1816
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1728], tid=1820
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [1728], tid=1824

может скачать актуальную версию avz (у меня 4.46) и попробовать повторно ей просканировать?

Sandor 13-09-2018 08:32 2831093
Цитата:
Цитата andres1602
скачать актуальную версию avz »
Такая версия находится в составе Autologger.

Проверим еще так:
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

andres1602 13-09-2018 17:03 2831215
Вложений: 1
Цитата:
Цитата Sandor
Отчёт прикрепите к сообщению. »

Sandor 13-09-2018 17:05 2831217
И здесь чисто. Обратитесь в системный раздел.

andres1602 13-09-2018 17:12 2831221
Вряд ли там помогут. Спасибо за то, что уделили время.

andres1602 15-09-2018 19:56 2831493
Вложений: 1
Избавился от заразы совершенно неожиданным способом: родной антивирус (ESET NOD32) после обновления поместил её в карантин сам :o


Время: 23:50.

Время: 23:50.
© OSzone.net 2001-