Решена Поймал вирус майнер Driver.exe

  • Автор темы Автор темы Gumanoid
  • Дата начала Дата начала

Переводчик Google

Gumanoid

Новый пользователь
Сообщения
7
Реакции
1
Через монитор ресурсов обнаружил процесс Windows Driver.exe который нагружал процессор до 100%, а при запуске стандартного диспетчера задач этот процесс просто отключался. Это говорит о том, что я нарвался на скрытый майнер.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs', '');
 QuarantineFile('c:\users\user\appdata\roaming\sysfiles\driver.exe', '');
 QuarantineFile('c:\users\user\appdata\roaming\sysfiles\system.exe', '');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs', '64');
 DeleteFile('c:\users\user\appdata\roaming\sysfiles\driver.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Sysfiles\system.exe', '32');
 DeleteFile('C:\Users\user\AppData\Roaming\Sysfiles\system.exe', '64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('user');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Driver', 'x64');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem127.0.6490.0{7C0CFD9D-B515-4539-88C0-15118050DF2F} - C:\Program Files (x86)\Google\GoogleUpdater\127.0.6490.0\updater.exe --wake --system (file missing)
O26 - Debugger: HKLM\..\mpcmdrun.exe: [Debugger] = C:\WINDOWS\System32\systray.exe (sign: 'Microsoft')

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
контрольная сумма A6567A10C888CD1DE4F7C893B41BC71D
 

Вложения

Kaspersky, как я вижу у вас удален?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    InternetURL: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url -> URL: file:///C:\Users\user\AppData\Roaming\Sysfiles\system.exe
    Task: {8A024BD5-B6C2-467A-993E-69E13F0B3D6C} - System32\Tasks\EdgeUpdate => C:\WINDOWS\system32\cmd.exe [339968 2024-11-23] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable <==== ВНИМАНИЕ
    Task: {83E29A11-153D-40B7-8D15-2862BF881FDC} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-09-14] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-705177890-1147294348-2339927788-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    2024-12-03 22:43 - 2024-12-04 20:46 - 000000000 ____D C:\Users\user\AppData\Roaming\Sysfiles
    FirewallRules: [{B1D9C291-2C18-4016-B34C-B811365B4DCE}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
    FirewallRules: [{0A377D57-9355-42DA-AC1E-57C37828FC9A}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
каспер да удален
Нужно следы зачистить

В остальном, как система поживает?
 
процесс driver ушел перестал грузить систему , лучше намного а то блок гудел как самолет из за нагрузки. тормаза тоже пропали вызванные загрузкой проца. Большое спасибо за помощь сейчас следы почищу от каспера
 
Тогда завершаем
1. Подготовьте лог лог SecurityCheck by glax24

2. Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

3. Ознакомьтесь: Рекомендации после лечения
 
Исправьте по возможности и удачи.
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33816 v.14.40.33816.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom Workplace v.6.2.7 (49583) Внимание! Скачать обновления
Viber v.23.2.0.2 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
GOM Player Plus v2.3.94.5365 v.2.3.94.5365 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^

Если не используете, то стоит удалить
---------------------------- [ UnwantedApps ] -----------------------------
Client Helper 6.1.1 v.6.1.1 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 
Назад
Сверху Снизу