Решена Еще одни побочный эффект майнера

A

amarkeyev

Новый пользователь
Сообщения
10
Реакции
0
Добавлю свои пять копеек в описание этого зверя.
Помимо нагрева процессора и видео, закрытия диспетчера задач и запрета на запуск gpedit.msc он каким-то образом влиял на роутер.
Выглядело это так:
ASUS RT-AX58U как первая, так и вторая ревизии.
Системный блок подключен по кабелю.
Причем не важно, напрямую, или через разветвитель.
При включении питания или перезагрузке с вероятностью 2/3 роутер падал в core panic.
На что я только не думал, что только не менял: кабель, разветвитель, прошивку роутера, сам роутер, сетевую карту. Ничего не помогало.
Оказалось, это майнер делал.
После того, как удалил его, все прекратилось.
Спасибо этому сайту!
 
Здравствуйте!

Интересное наблюдение. Только ранее ничего подобного замечено не было.
Для верности соберите логи по правилам раздела, возможно что ещё осталось.

Правила оформления запроса о помощи
 
Запустил AutoLogger.
Прикладываю архив, который он сформировал, плюс пример лога с крашем роутера.
Комп уже вылечен (как я надеюсь).
 

Вложения

  • CollectionLog-2023.01.28-11.24.zip
    83.4 KB · Просмотры: 3
  • routerlog.txt
    280 KB · Просмотры: 6
Хвосты ещё видны.

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
логи
 

Вложения

  • AV_block_remove_2023.01.28-11.53.log
    5.2 KB · Просмотры: 2
  • CollectionLog-2023.01.28-11.57.zip
    68.8 KB · Просмотры: 1
"Пофиксите" в HijackThis только следующие строки:
Код: 
O7 - AppLocker: Fix all (including policies)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
done
 

Вложения

  • Addition.txt
    76.3 KB · Просмотры: 1
  • FRST.txt
    35.5 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {93D58F30-F02B-432F-BB70-58EB55A52FDA} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {DD2ABD91-E432-433C-9F60-BFBBEE9C8556} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
Task: {EAC7FC5D-493F-470F-9B36-F71FF38EAF14} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
Task: {F847F6EA-EDD6-442F-B33A-064102D6C09F} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
S3 458E7F902E731E14; \??\C:\Users\andy-PC\AppData\Local\Temp\55CE6326-8A88B789-F85FE099-53F32493\7cc4fc14.sys [X] <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\andy-PC\Application Data:2e7adecd915fad7ede6cff9c6c6e4e6e [394]
AlternateDataStreams: C:\Users\andy-PC\AppData\Roaming:2e7adecd915fad7ede6cff9c6c6e4e6e [394]
FirewallRules: [{3563450B-26AC-4C17-B5C9-3F915DE97E74}] => (Allow) LPort=1688
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
лог
дальнейшие действия - вечером. вынужден отойти от компа.
 

Вложения

  • Fixlog.txt
    6.1 KB · Просмотры: 1
Мы в целом закончили. Возможно у коллег будут вопросы.

По нашей части в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
отчет
В файле ссылки на утилиты обновления Windows и Office.
Нужно ли их устанавливать?
 

Вложения

  • SecurityCheck.txt
    11.9 KB · Просмотры: 1
Последнее редактирование:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2019 - en-us v.16.0.13801.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13801.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
PuTTY release 0.74 (64-bit) v.0.74.0.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
calibre 64bit v.5.18.0 Внимание! Скачать обновления
Notepad++ (32-bit x86) v.7.9.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.12 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
KMSpico Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.


По возможности исправьте перечисленное.

На заметку - Рекомендации после удаления вредоносного ПО
 
amarkeyev написал(а):
логи
Нажмите для раскрытия...
Как понимаю это не первый запуск AV block remover и ранее вы им уже пролечили майнер. Можно увидеть лог того запуска? У него в название будет соответствующая дата и время.

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.
 
И настройки AppLocker-а вы сами не трогали?
 
Полная история:

1. Обратил внимание, что комп молотит вентиляторами, когда ничем не занимается.
2. Понял, что диспетчер закрывается через некоторое время, а нагрузка при его запуске пропадает.
3. Попробовал запустить редактор групповых политик - не запускается.
4. Не дает скачать антивируса с сайта касперского (как оказалось, это бесполезный вариант).
5. Посмотрел файл hosts. Нашел кучу заглушек на антивирусные сайты. Убрал руками.
6. Скачал и запустил свежую Dr.Web CureIt. Она нашла в безопасном режиме пару троянов, но с майнером ничего сделать не смогла (не нашла).
7. Установил на другом диске Win10, на нее поставил Kaspersky Internet Security, запустил проверку системного диска основной системы. Видимо, касперский его не удалил, но поломал.
8. После него запустил основную систему (которая заражена) и там зашел в gpedit.msc. Увидел настройки AppLocker и удалил их вручную.
9. После этого уже запустил av_block_remover. Я только к этому шагу нашел Ваш сайт.
Логи первого и следующих запусков в тот день прилагаю.
 

Вложения

  • AV_block_remove_2023.01.24-10.52.log
    8 KB · Просмотры: 1
  • AV_block_remove_2023.01.24-10.58.log
    531 байт · Просмотры: 1
  • AV_block_remove_2023.01.24-12.17.log
    5.3 KB · Просмотры: 1
  • AV_block_remove_2023.01.24-12.32.log
    5.2 KB · Просмотры: 1
Архив сформировал. На сайт по инструкции выложил.
Размер файла, байт: 194848721
MD5: 2637CCDBDD93C47DD59C677ED28A2925
 
Если не сложно ещё папку
Код: 
C:\distr\AV_block_remover\Backup\
заархивируйте и прикрепите.
 
done
 

Вложения

  • Backup.zip
    130.1 KB · Просмотры: 1
А вот это уже интересней. Судя по бэкапам у вас действительно были сброшены политики аплокера до запуска утилиты, странно, что тогда в логе Хиджака они были видны :).
Но это уже не к вам вопрос, а скорее к MS. Просто пояснил почему просил у вас эти данные.
 
Я не знал, что с этими политиками делать, и сначала поменял на всех запрет (красный) на разрешение (зеленый).
Это не помогло.
Дальше уже не вспомню, когда я их вручную удалил.
Но это не помогло для запуска антивирусов.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу