Решена Скрытый майнер Windows Driver.exe

Статус
В этой теме нельзя размещать новые ответы.

vasek049

Новый пользователь
Сообщения
6
Реакции
0
Через System Explorer обнаружил процесс Windows Driver.exe который нагружал процессор до 70%, а при запуске стандартного диспетчера задач этот процесс просто отключался. Это говорит о том, что я нарвался на скрытый майнер. После удаления этого файла он через какое то время снова устанавливается.
 

Вложения

  • CollectionLog-2017.11.08-11.55.zip
    97.7 KB · Просмотры: 4
Последнее редактирование:
Здравствуйте!

Через Панель управления - Удаление программ - удалите нежелательное ПО:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\framework\windows driver.exe');
 TerminateProcessByName('c:\programdata\windowssql\com surrogate.exe');
 QuarantineFile('C:\Program Files\MinerGate\minergate.exe', '');
 QuarantineFile('c:\programdata\framework\windows driver.exe', '');
 QuarantineFile('c:\programdata\windowssql\com surrogate.exe', '');
 DeleteFile('C:\Program Files\MinerGate\minergate.exe', '32');
 DeleteFile('c:\programdata\framework\windows driver.exe', '32');
 DeleteFile('c:\programdata\windowssql\com surrogate.exe', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MinerGateGui');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
 
  • Like
Реакции: akok
Запустил скрипт, но всеравно этот windows driver.exe нагружает систему. Файл quarantine.zip отправил через форму. На всякий случай прикрепил логи после повторной диагностики.
 

Вложения

  • CollectionLog-2017.11.09-09.51.zip
    92.1 KB · Просмотры: 3
Последнее редактирование:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Готово
 

Вложения

  • DESKTOP-KT9PC05_2017-11-09_13-53-17.7z
    704.6 KB · Просмотры: 2
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    ;---------command-block---------
    bl 4635935FC972C582632BF45C26BFCB0E 8192
    zoo %SystemDrive%\PROGRAMDATA\WINDOWSSQL\SYSTEM.EXE
    delall %SystemDrive%\PROGRAMDATA\WINDOWSSQL\SYSTEM.EXE
    zoo %SystemDrive%\PROGRAMDATA\DIRECTX11B\SYSTEM.EXE
    delall %SystemDrive%\PROGRAMDATA\DIRECTX11B\SYSTEM.EXE
    zoo %SystemDrive%\PROGRAMDATA\FRAMEWORK\SYSTEM.EXE
    delall %SystemDrive%\PROGRAMDATA\FRAMEWORK\SYSTEM.EXE
    apply
    
    zoo %SystemDrive%\PROGRAMDATA\FRAMEWORK\WINDOWS DRIVER.EXE
    bl 818DB8AB8F364495A38DE6E00D50F015 406528
    addsgn 1A8F7E9A5583DD8CF42B627DA804DEC9E946303A4536D3C184C3C5BCA2D961619B678757D549244B2B80846D4906643A0D9BE8995863B32C2D775620D72B9A03 8 Win32.BitCoinMiner.hxao [Kaspersky] 7
    
    chklst
    delvir
    
    deldir %SystemDrive%\PROGRAMDATA\DIRECTX11B\
    deldir %SystemDrive%\PROGRAMDATA\FRAMEWORK\
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Повторите контрольный лог uVS.
 
Контрольный лог готов. Файл ZOO переименовал в quarantine и отправил через форму.
 

Вложения

  • DESKTOP-KT9PC05_2017-11-09_14-27-36.7z
    703.3 KB · Просмотры: 2
Система больше не нагружена, спасибо за помощь.
 
В завершение:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделано
 

Вложения

  • SecurityCheck.txt
    7.2 KB · Просмотры: 4
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.100 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^


Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу