Технический форум
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Технический форум (http://www.tehnari.ru/)
-   Безопасность (http://www.tehnari.ru/f35/)
-   -   Помогите разобраться с майнерами (http://www.tehnari.ru/f35/t258921/)

miner1337 31.03.2018 21:40
Помогите разобраться с майнерами
 
Обнаружил у себя 2 вида майнера: conhost64.exe (C:\windows\SysWOW64\conhost64.exe) и msiexec64.exe(C:\USER\Aser\Appdata\Local\BitTorren t\msiexec64.exe). Однажды у меня получилось удалить msiexec64.exe, находился тоже в Local, но в другой папке, я разблокировал доступ, удалил файлы и затёр диск с помощью AusLogics BoostSpeed, чтобы файлы не восстановились, и у меня получилось. Позже я проверил все папки в Local и нашёл там около 3 таких майнеров, файлы одного из которых были заблокированы. Я удалил все файлы и после затёр диск. Сегодня один майнер восстановился в папке BitTorrent, а другие нет. С conhost64.exe та же проблема, то есть после удаления и затирания файл восстановился. Помогите, пожалуйста!

P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)

Vladimir_S 31.03.2018 21:45
Цитата:
Сообщение от miner1337 (Сообщение 2568473)
P.S. (есть проги UVS и FRST, но не разбраюсь в них должным образом)
Вам и не надо разбираться. А вот что надо обязательно сделать, так это выложить логи программ. Подробнее — здесь.

miner1337 31.03.2018 22:15
Вложений: 1
вот, но вроде conhost64.exe не видит, но вот

Гризлик 31.03.2018 22:45
Скопируйте код ниже в буфер обмена.
Закройте все браузеры.
Запустите UVS под текущим пользователем.
В меню: Скрипты----Выполнить из буфера обмена
Код:
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
zoo %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
setdns SecureLine\4\{5E2EC62F-74A3-4B90-A13B-9EB47FE0023F}\8.8.8.8,8.8.4.4
delref HTTP://CR-WHITE.NET/DUCXCACEQVIU.QOO
delref HTTP://SUBOUTMY.NET/FVYRKUJUGTJV.QKP
delref %SystemDrive%\USERS\ASER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EEOCKNBJPMFGACLENCNFJFKKLMMFMIIE\3.0.3_0\SCRIPTGATE
delall %SystemDrive%\USERS\ASER\DESKTOP\SEMEN\KEYMAKER.EXE
delall %SystemDrive%\USERS\ASER\APPDATA\LOCAL\BITTORRENT\MSIEXEC64.EXE
deltmp
delnfr
restart
После перезагрузки выполните сканирование в Malwarebytes

miner1337 31.03.2018 23:45
Вложений: 1
готово, что дальше?

Гризлик 31.03.2018 23:54
Если Auslogics BoostSpeed пользуетесь то галочки с записей
Код:
CrackTool.Agent
PUP.Optional.AuslogicsBoostSpeed
PUP.Optional.RussAd
снять, остальное все удалить. Если не пользуетесь то все удалить. Кроме
Код:
PUP.Optional.RussAd
Далее
сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
в АдвКлинере, после завершения проверки,
снимите галки с записей mail.ru, yandex (если есть такие и вы ими пользуетесь в противном случае снимать не нужно)
остальное удалите по кнопке Очистить
далее,

сделайте проверку в FRST
http://www.tehnari.ru/f150/t245622/

miner1337 01.04.2018 00:12
АдвКлинер нашёл что-то с boostspeed в названии, чем я пользуюсь, тоже удалять?

miner1337 01.04.2018 00:16
Кроме
Код:
PUP.Optional.RussAd
Что это, я это удалил, т.к. либо вы исправили своё сообщение, либо я не увидел это "кроме".

miner1337 01.04.2018 00:21
Ладно, я погуглил что это и понял, что это не смертельно. я оставлю BoostSpeed и перейду к слкдующему шагу.

miner1337 01.04.2018 01:20
Вложений: 2
это всё, что FRST успел отсканировать перед появлением ошибки сканирования (75919)


Часовой пояс GMT +4, время: 02:17.
Страница 1 из 2 1 2
Показывать 40 сообщений этой темы на одной странице

Powered by vBulletin® Version 4.5.3
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.