Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] майнер svchost (http://forum.oszone.net/showthread.php?t=342853)

Ramzes83 07-11-2019 12:24 2895104
майнер svchost
 
Вложений: 1
Случайно заметил активность проца 100%.
Вирус "майнер", скрывается под именем "svchost.exe". Переименовал, остановил, удалил, в планировщике почистил новые правила, перезагрузил, вроде все ок. Время спустя все повторилось, лежит в том же месте "c:\Windows\System32\spool\svchost.exe".
NOD32 v5 вирус не видит, хотя на вирустотал НОД его дедектит
https://www.virustotal.com/gui/file/...79f3/detection
судя по логам, гадость подтягивается из Хрома, после его запуска.
Подскажите, как красиво все зачистить, или переустановить хром?.
(не смотря на то, что старые версии антивируса обновляются автоматом, но в новых все же новые алгоритмы поиска, и пора обновиться?...)

akok 07-11-2019 13:52 2895125
Точно перед заражением софт не устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\drivers\svchost.exe','');
 QuarantineFile('C:\Windows\system32\spool\svchost.exe','');
 DeleteSchedulerTask('Microsoft\Windows\SoftwareProtectionPlatform\SvcEventTask');
 DeleteSchedulerTask('Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDefrag');
 DeleteFile('C:\Windows\system32\spool\svchost.exe','64');
 DeleteFile('C:\Windows\system32\drivers\svchost.exe','64');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..


По поводу переустановки
Переустановка Chrome
1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте еще раз Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
Цитата:
C:\Users\user\AppData\Local\Google\Chrome\
4. Скачайте и установите Хром заново. В аккаунт Google пока не входите и проверьте.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ramzes83 07-11-2019 23:29 2895217
Вложений: 3
сделано. после переустановки хрома., пока тишина.

akok 09-11-2019 02:03 2895417
FRST нормально отработал? А то лог пустой

Ramzes83 12-01-2020 21:14 2904678
сори за несвоевременный ответ, работы навалилось.
Советы не подействовали в полной мере. При ручном анализе обнаружил, что был создан еще один сторонний пользователь в системе. Механизм и принцип не выяснял, грохнул его, прибрался доктор вебом, сменил пароль, вроде пока тихо.

Sandor 13-01-2020 09:09 2904698
Пункт 4 из сообщения №2 выполните ещё раз.


Время: 06:27.

Время: 06:27.
© OSzone.net 2001-