21.04.2017, 17:38
|
#1 (permalink) |
|
Member
Регистрация: 10.02.2013
Сообщений: 58
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Проверка на майнеры
|
|
|
|
21.04.2017, 17:38
|
|
|
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Не стоит торопить события, лучше пока обратить внимание на эти ссылки Подозрение на майнеры Проверка UvS Проверка Подозрение на майнеры Проверка пк. |
|
22.04.2017, 05:48
|
#2 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15111
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0b12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
unload %Sys32%\ATTRIB.EXE
zoo %SystemDrive%\USERS\JOHNNY\APPDATA\ROAMING\MICROSOFT HELP\SVCHOST.EXE
addsgn A1BA20CF1DE77907C92A51F9E9761245D975AB4EF11A1B78D58B4C5D185F8B04AAE07D2B03549D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 Client-P2P.Win32.Hola.a [Kaspersky] 7
zoo %SystemDrive%\USERS\JOHNNY\APPDATA\ROAMING\MICROSOFT\WINDOWS\SVCHOST.EXE
addsgn A1BA20CF1DE779C76E2251F9E97612D5D075AB4E3D4D0C78D58B4C5D185F8B04AAE07D67A45C9D1C630961DBCD1F0073AD9761801D57C72E7BFDA3D00D8EE357 8 miner 7
chklst
delvir
delref %SystemDrive%\USERS\JOHNNY\APPDATA\ROAMING\MICROSOFT HELP\DWM.EXE
del %SystemDrive%\USERS\JOHNNY\APPDATA\ROAMING\MICROSOFT HELP\DWM.EXE
delref MINE.EXE
delref %SystemDrive%\USERS\JOHNNY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref HTTP://OVGORSKIY.RU
apply
deltmp
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\QAGENTRT.DLL
delref %Sys32%\TBSSVC.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL
delref %Sys32%\MCXDRIV.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %Sys32%\DRIVERS\RDPWD.SYS
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %Sys32%\P2PHOST.EXE
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\APILOGEN.DLL
delref %Sys32%\IPBUSENUM.DLL
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\OOBE\MSOOBEUI.DLL
delref %Sys32%\MCTADMIN.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\WWANADVUI.DLL
delref %Sys32%\DSHOWRDPFILTER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %SystemDrive%\USERS\JOHNNY\APPDATA\ROAMING\MICROSOFT HELP\HS_SVC.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %Sys32%\NAHIMICV3APO.DLL
delref %Sys32%\HARMANAUDIOINTERFACE.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\USERS\JOHNNY\APPDATA\LOCAL\TEMP\HYD7EA4.TMP.1485517727\HTA\3RDPARTY\FS.OCX
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref I:\SETUP.EXE
;-------------------------------------------------------------
restart
---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
|
|
|
|
22.04.2017, 16:21
|
#3 (permalink) |
|
Member
Регистрация: 10.02.2013
Сообщений: 58
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Я совершил ошибку по-неопытности и сразу же деактивировал премиум-аккаунт Malwarebytes.Поэтому смог сделать только полную проверку,быстрая-платная.
 Ну что могу сказать:процессор больше не грузится в простое,хотя,как я понял,мой компьютер был засран.Сейчас меня смущает только одно:на системном диске появились какие-то файлы с расширением tmp,их много и система не позволяет их удалять.Картинки прилагаю.Бегунок окна можно проматывать и дальше-та же картина.
|
|
|
|
|
22.04.2017, 16:56
|
#4 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15111
|
да, подозрительные файлики, тем более в корне диска.
далее, 3.сделайте проверку в АдвКлинере Как выполнить проверку в AdwCleaner? ***** 4.в АдвКлинере, после завершения проверки, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, 5.сделайте проверку в FRST Как создать логи FRST |
|
|
|
|
22.04.2017, 17:59
|
#5 (permalink) |
|
Member
Регистрация: 10.02.2013
Сообщений: 58
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Всё сделал.Reimage-это программа,которую я вчера установил(пытался что-нибудь сделать самостоятельно),но прога оказалась платной.
|
|
|
|
| Ads | |
|
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|
23.04.2017, 15:55
|
#8 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15111
|
перегрузите систему, проверим результат очистки.
+ выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v4.0b12 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE adddir >%SystemDrive% crimg ---------- |
|
|
|
|
23.04.2017, 16:15
|
#9 (permalink) |
|
Member
Регистрация: 10.02.2013
Сообщений: 58
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
|
Извините,я немного запутался...Первое:перезагрузка после обнаружения ничего не даёт-файлики не удаляются(я не умею пользоваться этой программой),я просто нажимаю красный крестик,высвечивается надпись,что нужна перезагрузка,я перезагружаюсь-все файлы на месте(может что-то делаю не так).Скрипт выполнил(без перезагрузки),но образ автоматически не создался,поэтому я создал ещё раз.Картинку после этого прилагаю.
|
|
|
|
|
23.04.2017, 16:27
|
#10 (permalink) |
|
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15111
|
Образ то создался скриптом, вот только нужные файлы похоже не попали в него
JOHNNY-PC_2017-04-23_16-00-21 adddir >%SystemDrive% -------------------------------------------------------- Добавление всех исполняемых файлов каталога: C: C:\yzwhyurd.tmp будет удален после перезагрузки C:\zvkuvqla.tmp будет удален после перезагрузки C:\zszptlmg.tmp будет удален после перезагрузки C:\weuxxgnt.tmp будет удален после перезагрузки C:\wsikucoq.tmp будет удален после перезагрузки C:\wpfxsyhw.tmp будет удален после перезагрузки C:\tbafwtqj.tmp будет удален после перезагрузки C:\uypstojp.tmp будет удален после перезагрузки C:\rkjayrsb.tmp будет удален после перезагрузки C:\rgyvvnlz.tmp будет удален после перезагрузки C:\rdnisjmf.tmp будет удален после перезагрузки C:\ophpfenr.tmp будет удален после перезагрузки C:\odwcczox.tmp будет удален после перезагрузки C:\patpzvhv.tmp будет удален после перезагрузки C:\mmfxeqqi.tmp будет удален после перезагрузки C:\micsbljn.tmp будет удален после перезагрузки C:\juxagosa.tmp будет удален после перезагрузки C:\jrlndklg.tmp будет удален после перезагрузки C:\jnaaagnd.tmp будет удален после перезагрузки Добавлено новых файлов: 0 -------------------------------------------------------- crimg -------------------------------------------------------- похоже, имена этих файлов мутируют. пробуйте несколько этих файлов заархивировать с паролем infected и добавить на форум в следующее сообщение. и да, вот этот файл тоже добавьте на форум JOHNNY-PC_2017-04-23_16-00-21 |
|
|
|
| Ads | |
|
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
 |
| Опции темы | |
| Опции просмотра | |
|
|
Линейный вид
