Решена Майнер C:\ProgramData\Framework\System.exe

Статус
В этой теме нельзя размещать новые ответы.
I

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
После CureIt удаления при ребуте пересоздается. Связан с парой других файлов, известный в гугле персонаж, судя по всему.
Буду благодарен за помощь в лечении.
 

Вложения

  • CollectionLog-2017.10.24-22.32.zip
    82.1 KB · Просмотры: 6
Здравствуйте!

На кибер-форуме тоже ваша тема?
Майнер C:\ProgramData\Framework\System.exe - Лечение компьютерных вирусов - CyberForum.ru
Sandor написал(а):
На кибер-форуме
Нажмите для раскрытия...
тему закрываю.

Если еще на каком-то форуме создали тему и там не ответили, попросите закрыть. Лечить следует в одном месте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: 
begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
На вирустотале еще. Если я попрошу закрыть там, то разрешите лечить здесь?
Не знал, что нельзя на разных форумах создавать топики подобные. В правилах вроде не видел такого, когда читал.
 
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.
Ivan submarina написал(а):
На вирустотале еще.
Нажмите для раскрытия...
Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
 
akok написал(а):
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.

Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
Нажмите для раскрытия...
Давайте здесь :)
Первое место, где со мной фидбек какой-то получился.
Хватит ли тех логов, что в архиве?
Благодарю!
 
Хорошо. Проделайте инструкции из сообщения №2.
 
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
 
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: 
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
;---------command-block---------
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
bl 31DA8E2C0DFED205907A9132EF92D642 280060
zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
 
akok написал(а):
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
Нажмите для раскрытия...
Так точно. Проблема появилась сравнительно недавно. Причем майнер толи глючный, толи умный - работает далеко не всегда почему-то.
regist написал(а):
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: 
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
;---------command-block---------
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
bl 31DA8E2C0DFED205907A9132EF92D642 280060
zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
Нажмите для раскрытия...
Благодарю! Сейчас сделаю, позже отпишу, если что.
regist написал(а):
+ потом свежий образ автозапуска.
У вас майнер живёт.
Нажмите для раскрытия...
Это сейчас выложить, или подождать ответа?
Отправлял файл карантина через почту.
 
Sandor написал(а):
Ivan submarina, что сейчас с проблемой?
Нажмите для раскрытия...
Периодически посматриваю в таск менеджер, вроде все нормально, цп не грузится сильно, и процессы не висят которые висели.
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
 
Ivan submarina написал(а):
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
Нажмите для раскрытия...
Расширение крутило рекламу. Майнер маскировался под директ х.

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
akok написал(а):
Майнер маскировался под директ х.
Нажмите для раскрытия...
Понял. Я там еще подобную одну папку сносил сам, не помню точно какую правда, сорри. Но по структуре файлов она идентична. В любом случае, большущее спасибо!
 
Хм, по адресу C:\ProgramData\Framework снова завелась живность та же в скрытом ехе.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу