Решена Майнер C:\ProgramData\Framework\System.exe

Статус
В этой теме нельзя размещать новые ответы.

Ivan submarina

Новый пользователь
Сообщения
11
Реакции
0
После CureIt удаления при ребуте пересоздается. Связан с парой других файлов, известный в гугле персонаж, судя по всему.
Буду благодарен за помощь в лечении.
 

Вложения

  • CollectionLog-2017.10.24-22.32.zip
    82.1 KB · Просмотры: 6
Здравствуйте!

На кибер-форуме тоже ваша тема?
Майнер C:\ProgramData\Framework\System.exe - Лечение компьютерных вирусов - CyberForum.ru
На кибер-форуме
тему закрываю.

Если еще на каком-то форуме создали тему и там не ответили, попросите закрыть. Лечить следует в одном месте.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteRepair(20);
RebootWindows(false);
end.

Компьютер перезагрузится.

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
На вирустотале еще. Если я попрошу закрыть там, то разрешите лечить здесь?
Не знал, что нельзя на разных форумах создавать топики подобные. В правилах вроде не видел такого, когда читал.
 
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.
На вирустотале еще.
Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
 
Ivan submarina, просто на кибере и еще на нескольких русскоязычных форумах помощь оказывает одна команда специалистов, смысла грузить их одинаковыми проблемами нет.

Это где? Определитесь где будете долечивать систему, на остальных ресурсах просто закроем тему.
Давайте здесь :)
Первое место, где со мной фидбек какой-то получился.
Хватит ли тех логов, что в архиве?
Благодарю!
 
Хорошо. Проделайте инструкции из сообщения №2.
 
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
 
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
    ;---------command-block---------
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    bl 31DA8E2C0DFED205907A9132EF92D642 280060
    zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
 
Вы уверены, что заразились из вне и это не вина варезной сборки windows? Что устанавливалось перед возникновением проблем?
Так точно. Проблема появилась сравнительно недавно. Причем майнер толи глючный, толи умный - работает далеко не всегда почему-то.
+
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    dirzooex %SystemDrive%\PROGRAMDATA\DIRECTX11B
    ;---------command-block---------
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_9934\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_19061\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_14748_14217\20.115.3_WIN64_SOFTWAREREPORTER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_20869\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    zoo %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delall %SystemDrive%\USERS\XTREME.WS\APPDATA\LOCAL\TEMP\CHROME_BITS_7328_13411\26.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    bl 31DA8E2C0DFED205907A9132EF92D642 280060
    zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\DIRECTX11B.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

+ потом свежий образ автозапуска.
У вас майнер живёт.
Благодарю! Сейчас сделаю, позже отпишу, если что.
+ потом свежий образ автозапуска.
У вас майнер живёт.
Это сейчас выложить, или подождать ответа?
Отправлял файл карантина через почту.
 
Ivan submarina, что сейчас с проблемой?
Периодически посматриваю в таск менеджер, вроде все нормально, цп не грузится сильно, и процессы не висят которые висели.
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
 
Я так понимаю, что это хромовское расширение занималось пересозданием экзешника малвари?
Расширение крутило рекламу. Майнер маскировался под директ х.

Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Майнер маскировался под директ х.
Понял. Я там еще подобную одну папку сносил сам, не помню точно какую правда, сорри. Но по структуре файлов она идентична. В любом случае, большущее спасибо!
 
Хм, по адресу C:\ProgramData\Framework снова завелась живность та же в скрытом ехе.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу