Решена Xmrig Miner

[joepeach]

Здравствуйте! Поймал Xmrig Miner от активатора, грузит ЦП до 100%.
Касперский детектит его в "C:\Windows\System32\winsvcf\x736594.dat".
Помогите пожалуйста! Логи прикрепляю.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\x977434.dat','');
 QuarantineFile('c:\windows\system32\winsvcf\x736594.dat','');
 DeleteFile('c:\windows\system32\winsvcf\x736594.dat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\x977434\Parameters','ServiceDll','x64');
 DeleteFile('C:\Windows\System32\x977434.dat','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = (no CLSID) - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE (file missing)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: (no name) - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) -  - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies (empty)
O22 - Tasks: (damaged) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_297e45ff3dc1a532\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (user missing) (sign: 'ASUSTeK COMPUTER INC.')
O23 - Service R2: x977434 - C:\Windows\System32\svchost.exe -k DcomLaunch; "ServiceDll" = C:\Windows\System32\x977434.dat (not signed - no company - 4C64D89C696E767AF6C2786F0BB5FBF6BAA95599)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

 

[joepeach]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\System32\x977434.dat','');
 QuarantineFile('c:\windows\system32\winsvcf\x736594.dat','');
 DeleteFile('c:\windows\system32\winsvcf\x736594.dat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\x977434\Parameters','ServiceDll','x64');
 DeleteFile('C:\Windows\System32\x977434.dat','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O2-32 - HKLM\..\BHO: (no name) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = (no CLSID) - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = (no CLSID) - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\E&xport to Microsoft Excel: (default) = C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE (file missing)
O9-32 - Button: HKLM\..\{31D09BA0-12F5-4CCE-BE8A-2923E76605DA}: (no name) - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro1 (ErrorConflict): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro2 (SyncInProgress): (no name) -  - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ SkyDrivePro3 (InSync): (no name) -  - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Leader Technologies (empty)
O22 - Tasks: (damaged) AsusSystemAnalysis_754F3273-0563-4F20-B12F-826510B07474 - C:\Windows\System32\DriverStore\FileRepository\asussci2.inf_amd64_297e45ff3dc1a532\ASUSSystemAnalysis\AsusSystemAnalysis.exe -j0 (user missing) (sign: 'ASUSTeK COMPUTER INC.')
O23 - Service R2: x977434 - C:\Windows\System32\svchost.exe -k DcomLaunch; "ServiceDll" = C:\Windows\System32\x977434.dat (not signed - no company - 4C64D89C696E767AF6C2786F0BB5FBF6BAA95599)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

Строчка

"O23 - Service R2: x977434 - C:\Windows\System32\svchost.exe -k DcomLaunch; "ServiceDll" = C:\Windows\System32\x977434.dat (not signed - no company - 4C64D89C696E767AF6C2786F0BB5FBF6BAA95599)"

Отсутствовала в Hijack.

 

[akok]

Теперь давайте повторные логи.

 

[joepeach]

Теперь давайте повторные логи.

 

[akok]

Смотрится неплохо, что с симтомами?

 

[joepeach]

Смотрится неплохо, что с симтомами?

Проблема решена, спасибо большое!
И сразу вопрос: флешки и внешние носители могу быть заражены майнером? Спасибо.

 

[akok]

И сразу вопрос: флешки и внешние носители могу быть заражены майнером? Спасибо.

не должны.

Завершаем
Подготовьте лог лог SecurityCheck by glax24

 

[joepeach]

не должны.

Завершаем
Подготовьте лог лог SecurityCheck by glax24

 

[akok]

Исправьте по возможности и удачи
------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.8.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.12.0.1810 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

UnwantedApps - если не используете, то можно удалить

 

[joepeach]

Исправьте по возможности и удачи
------------------------- [ OtherUtilities ] ----------------------------
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.5.8.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.12.0.1810 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

UnwantedApps - если не используете, то можно удалить

Спасибо! Вам тоже удачи, С наступаюшим!) <3