Решена Удаления майнера с 100430184

Статус
В этой теме нельзя размещать новые ответы.

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
Комп работает на износ, процесс (100430184) кушает всё свободное ЦП. СПАСИТЕ
1626620359383.png

В корневой папке имеется TXT файл с названием "Удаление", немножко не доверяю содержимому, или лучше прислушаться?
1626620451114.png
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,773
Реакции
14,059
Можете удалить полезное, или там ничего не будет. Зловред прописаться может где угодно.... нужны логи

 

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
прикрепляю логи
 

Вложения

  • CollectionLog-2021.07.18-22.13.zip
    99.3 KB · Просмотры: 10

Денис1111

Новый пользователь
Сообщения
7
Реакции
0

Вложения

  • CollectionLog-2021.07.18-22.13.zip
    99.3 KB · Просмотры: 11

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,773
Реакции
14,059
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Qwe.lnk"         -> ["C:\tay\Qwe.exe"]
-[MINER] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Visio.lnk"          -> ["C:\tay\vdaruriau-ney.exe"  =>> -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4]



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\tay\vdaruriau-ney.exe','');
 DeleteFile('c:\tay\vdaruriau-ney.exe','32');
 DeleteFileMask('c:\tay', '*.*', true);
 DeleteDirectory('c:\tay');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Qwe.lnk    ->    C:\tay\Qwe.exe
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Visio.lnk    ->    C:\tay\vdaruriau-ney.exe -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Qwe.lnk"         -> ["C:\tay\Qwe.exe"]
-[MINER] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Visio.lnk"          -> ["C:\tay\vdaruriau-ney.exe"  =>> -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4]



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\tay\vdaruriau-ney.exe','');
 DeleteFile('c:\tay\vdaruriau-ney.exe','32');
 DeleteFileMask('c:\tay', '*.*', true);
 DeleteDirectory('c:\tay');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Qwe.lnk    ->    C:\tay\Qwe.exe
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Visio.lnk    ->    C:\tay\vdaruriau-ney.exe -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Вложения

  • ClearLNK-2021.07.18_22.54.39.log
    1.5 KB · Просмотры: 1
  • ClearLNK-2021.07.18_22.56.50.log
    1.9 KB · Просмотры: 1

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
Через HijackThis нет ни одной соответствующей строчки
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,773
Реакции
14,059
Это хорошо, значит удалилось в другой итерации лечения. Что с проблемой?
 

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
Вроде помогло, процесс исчез, содержимое папки источника процесса исчезло.
Спасибо большое!
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,773
Реакции
14,059
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Вложения

  • SecurityCheck.txt
    5.2 KB · Просмотры: 8

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,642
Реакции
2,600
Рекомендуется удалить нежелательное ПО:
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу