Проверка на майнеры
Вложений: 2
Здравствуйте.Вчера скачал с Рутрекера одну раздачу с игрой и,кажется,схватил майнер или вредоносную программу.Процессор в простое начал грузиться на 90%!Помогите,пожалуйста!Через диспетчер задач увидел,что процессор ест приложение "attrib.exe"(из Windows/System32),по-моему так называется...Логи прилагаю.
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
Вложений: 3
Я совершил ошибку по-неопытности и сразу же деактивировал премиум-аккаунт Malwarebytes.Поэтому смог сделать только полную проверку,быстрая-платная.:fase:Ну что могу сказать:процессор больше не грузится в простое,хотя,как я понял,мой компьютер был засран.Сейчас меня смущает только одно:на системном диске появились какие-то файлы с расширением tmp,их много и система не позволяет их удалять.Картинки прилагаю.Бегунок окна можно проматывать и дальше-та же картина.
|
да, подозрительные файлики, тем более в корне диска.
далее, 3.сделайте проверку в АдвКлинере http://www.tehnari.ru/f150/t87975/ ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST http://www.tehnari.ru/f150/t245622/ |
Вложений: 3
Всё сделал.Reimage-это программа,которую я вчера установил(пытался что-нибудь сделать самостоятельно),но прога оказалась платной.
|
добавьте новый образ автозапуска, посмотрим, откуда берутся темп файлы в корне диска.
|
Вложений: 1
Сделано.Причём сам uVS ругается на эти файлы после запуска,говорит они будут удалены после перезагрузки.
|
перегрузите систему, проверим результат очистки.
+ выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
---------- |
Вложений: 2
Извините,я немного запутался...Первое:перезагрузка после обнаружения ничего не даёт-файлики не удаляются(я не умею пользоваться этой программой),я просто нажимаю красный крестик,высвечивается надпись,что нужна перезагрузка,я перезагружаюсь-все файлы на месте(может что-то делаю не так).Скрипт выполнил(без перезагрузки),но образ автоматически не создался,поэтому я создал ещё раз.Картинку после этого прилагаю.
|
Образ то создался скриптом, вот только нужные файлы похоже не попали в него
JOHNNY-PC_2017-04-23_16-00-21 adddir >%SystemDrive% -------------------------------------------------------- Добавление всех исполняемых файлов каталога: C: C:\yzwhyurd.tmp будет удален после перезагрузки C:\zvkuvqla.tmp будет удален после перезагрузки C:\zszptlmg.tmp будет удален после перезагрузки C:\weuxxgnt.tmp будет удален после перезагрузки C:\wsikucoq.tmp будет удален после перезагрузки C:\wpfxsyhw.tmp будет удален после перезагрузки C:\tbafwtqj.tmp будет удален после перезагрузки C:\uypstojp.tmp будет удален после перезагрузки C:\rkjayrsb.tmp будет удален после перезагрузки C:\rgyvvnlz.tmp будет удален после перезагрузки C:\rdnisjmf.tmp будет удален после перезагрузки C:\ophpfenr.tmp будет удален после перезагрузки C:\odwcczox.tmp будет удален после перезагрузки C:\patpzvhv.tmp будет удален после перезагрузки C:\mmfxeqqi.tmp будет удален после перезагрузки C:\micsbljn.tmp будет удален после перезагрузки C:\juxagosa.tmp будет удален после перезагрузки C:\jrlndklg.tmp будет удален после перезагрузки C:\jnaaagnd.tmp будет удален после перезагрузки Добавлено новых файлов: 0 -------------------------------------------------------- crimg -------------------------------------------------------- похоже, имена этих файлов мутируют. пробуйте несколько этих файлов заархивировать с паролем infected и добавить на форум в следующее сообщение. и да, вот этот файл тоже добавьте на форум JOHNNY-PC_2017-04-23_16-00-21 |
Часовой пояс GMT +4, время: 10:10. |
Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.