Решена Помощь в лечении майнера

Статус
В этой теме нельзя размещать новые ответы.

blamed

Новый пользователь
Сообщения
8
Реакции
0
Добрый день! И с Новым Годом. Столкнулся с проблемой, в диспетчере задач видел некоторые незнакомые процессы. Так же в панели задач иногда на миллисекунду появляется какая то программа и тут же пропадает. Так же на системном диске появились скрытые папки типа KVRT_Data, Config.Msi, grizzly ну это что увидел сразу. Захотел проверить на вирусы Cure it, но не смог зайти на сайт free.drweb.ru. Скачал с другого компьютера Cure it, обнаружил несколько вредоносных программ. Удалил что нашел антивирус.
 

Вложения

  • CollectionLog-2021.01.01-14.39.zip
    71.9 KB · Просмотры: 11
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:
{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamDel('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer','DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
  DeleteFile(GetAVZDirectory+'quarantine.7z');
  ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 
  • Like
Реакции: akok
Файл quarantine.7z отсутствует. AVZ видимо его удалил, и комп не перезагрузился. красным было выделено для удаления quarantine.7z необходима перезагрузка.
новый лог из Автологгера
 

Вложения

  • CollectionLog-2021.01.01-16.03.zip
    70.6 KB · Просмотры: 9
комп перезагрузил, но файл quarantine.7z отсутствует. а лог прикрепил после перезагрузки в посте выше.
 
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

Код:
begin
 FSResetSecurity('C:\Config.Msi');
 QuarantineFile('C:\Windows\WrpYGF74DrEm.ini', '');
 QuarantineFileF('C:\Config.Msi', '*', true, '', 0, 0);
 DeleteFile('C:\Windows\WrpYGF74DrEm.ini');
 DeleteFileMask('C:\Config.Msi', '*', true);
 DeleteDirectory('C:\Config.Msi');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CPUZ','x64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CPUZ','x32');
ExecuteSysClean;
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
RebootWindows(true);
end.

после выполнения скрипта компьютер перезагрузится.

Файл quarantine.7z из папки AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
 
карантин отправил. новый лог
 

Вложения

  • CollectionLog-2021.01.01-16.44.zip
    72.4 KB · Просмотры: 10
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
сделал
 

Вложения

  • FRST.txt
    29 KB · Просмотры: 8
  • Addition.txt
    65.5 KB · Просмотры: 8
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-4019345142-3743239627-1611514205-1001\...\Run: [AdobeBridge] => [X]
    S2 RManService; C:\ProgramData\Windows\rutserv.exe [X]
    FirewallRules: [{2E78B7C6-003A-4C57-ACEA-D91279EFB498}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
    FirewallRules: [{582B66E4-A6FA-4B2E-881E-1554FBB0D09B}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => No File
    FirewallRules: [{C6A51A09-E807-4CAC-9735-382725794D45}] => (Allow) D:\Games Steam\steamapps\common\Deceit\bin\win_x64\Deceit.exe => No File
    FirewallRules: [{0A31C579-2C56-41C8-9791-1AB7A88EB3A8}] => (Allow) D:\Games Steam\steamapps\common\Deceit\bin\win_x64\Deceit.exe => No File
    FirewallRules: [{8349CBED-9CE6-433B-A643-7B1BD4C234F0}] => (Allow) C:\Program Files (x86)\Apowersoft\Beecut\BeeCut.exe => No File
    FirewallRules: [{D8391A1F-CF1D-41D9-A2A3-0626DF23F351}] => (Allow) C:\Program Files (x86)\Apowersoft\Beecut\BeeCut.exe => No File
    FirewallRules: [{E13A60DD-2098-41CC-8E09-8A04E7E7E072}] => (Allow) D:\Games Steam\steamapps\common\rocketleague\Binaries\RocketLeague.exe => No File
    FirewallRules: [{D2E088A7-40D7-42EF-A029-26634D4F7C38}] => (Allow) D:\Games Steam\steamapps\common\rocketleague\Binaries\RocketLeague.exe => No File
    FirewallRules: [{BA7D5BF0-4AAA-4BA7-9FA0-80F61442C97B}] => (Block) LPort=445
    FirewallRules: [{DC6A697A-76DA-4196-8801-E67AED336919}] => (Block) LPort=445
    FirewallRules: [{A847B0F2-E570-45F8-9E09-04FE029894B3}] => (Block) LPort=139
    FirewallRules: [{798E049E-BD86-49EB-B476-0D081E411FF1}] => (Block) LPort=139
    FirewallRules: [{6CCEC80E-153E-4CFD-A39E-7DE785FBE5A1}] => (Allow) LPort=3389
    FirewallRules: [{2DA798CD-9F3D-479E-866F-FF220C031E85}] => (Allow) LPort=3389
    FirewallRules: [{E3DC07C6-2B07-4727-9194-3872E1CA9411}] => (Block) LPort=445
    FirewallRules: [{F58C161F-F3EB-4762-8EBE-DA80918A53F7}] => (Block) LPort=445
    FirewallRules: [{37C900EA-A4AB-4F24-ABA3-EDA0F2528C56}] => (Block) LPort=139
    FirewallRules: [{94501982-1945-489E-AE60-6031956AF3B2}] => (Block) LPort=139
    FirewallRules: [{386CC82B-D80C-429F-8CED-12F42111A811}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
    FirewallRules: [{3CC70F85-FF2E-4423-8F6C-014B60CAFC8B}] => (Block) LPort=139
    FirewallRules: [{4582FBDA-8ABD-4132-B75B-16149A4BAD0A}] => (Block) LPort=139
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
добрый день. выполнил fix
 

Вложения

  • Fixlog.txt
    7 KB · Просмотры: 8
Что с проблемой?
 
Восстановление системы включите вручную.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

И поставьте себе антивирус, желательно с фаерволлом.
 
  • Like
Реакции: akok
md5 FDD03B25CD1A9ED39568CBE6CFFC992D
 

Вложения

  • SecurityCheck.txt
    10.3 KB · Просмотры: 10
Исправьте по возможности

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft OneDrive v.20.143.0716.0003 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndColloborate ] ---------------------------
Telegram Desktop version 2.4.7 v.2.4.7 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 10.8.0 Full v.10.8.0 Внимание! Скачать обновления
QuickTime 7 v.7.78.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.433 Внимание! Скачать обновления
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу