Технический форум
Вернуться   Технический форум > Компьютерный форум > Форум по вирусам и антивирусам


Закрытая тема
 
Опции темы Опции просмотра
Старый 13.08.2017, 19:01   #1 (permalink)
obley
Member
 
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию Майнер

Майнер периодически загружает видеокарту на 100%. Malware находит такие гадости, которые после удаления периодически восстанавливаются.
Миниатюры
aacuiyiiue.png  
Вложения
Тип файла: rar SOBAKEVICHPC09_2017-08-13_19-48-32.rar (654.3 Кб, 36 просмотров)
Тип файла: zip virusinfo_syscheck.zip (30.9 Кб, 27 просмотров)
obley вне форума  

Старый 13.08.2017, 19:01
Helpmaster
Member
 
Аватар для Helpmaster
 
Регистрация: 08.03.2016
Сообщений: 0

Рекомендую обратить внимание на данные ссылки

Подозрение на майнер!
Майнер? (uVS внутри)
Майнер

Старый 14.08.2017, 05:50   #2 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

да, майнер активный есть,
только переделайте образ еще раз актуальной версией uVS.
у вас устаревшая версия.
uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

4.0.9 можно скачать отсюда
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

в обновленной версии добавлено детектирование скриптов WMI,
которые наверняка есть в вашем случае.

+
установите патч для вашей системы, если еще не установлен.
https://technet.microsoft.com/en-us/.../ms17-010.aspx

возможно пробивает систему по сети
(судя по скриншоту, это характерные файлики для сетевого червя, который использует эксплойт ETERNALBLUE).
safety вне форума  
Старый 14.08.2017, 18:51   #3 (permalink)
obley
Member
 
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Патч поставил, лог 4,09 uvs прилагаю
http://www.tehnari.ru/attachment.php...1&d=1502722301
Вложения
Тип файла: 7z SOBAKEVICHPC09_2017-08-14_19-45-28.7z (607.9 Кб, 88 просмотров)
obley вне форума  
Старый 14.08.2017, 19:26   #4 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemRoot%\DEBUG\ITEM.DAT
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref S.RAR
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_22905\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CHROME_BITS_3352_21606\26.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE64.DLL
delref %SystemDrive%\PROGRAM FILES\INTEL SECURITY\TRUE KEY\MSIE\TRUEKEY_IE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\BBTALK\PLUGINS\NPPLUGIN\NPGARENATALKPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\ALSYSIO64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\GARENA PLUS\ROOM\SAFEDRV.SYS
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\GKERNEL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE SETTLERS 7 - PATHS TO A KINGDOM\DATA\BASE\_DBG\BIN\RELEASE\ORBIT\NPUPLAYPC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_73\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_77\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\403031~1.2\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\USERS\SOBAKE~1\APPDATA\LOCAL\TEMP\CMDLIN~1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYFF.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\VID_0079&PID_0006\GAJOYPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\THE ELDER SCROLLS 5.SKYRIM.LEGENDARY EDITION.V 1.9.32.0.8 + 4 DLC\MOPY\WRYE BASH.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\AGE OF MYTHOLOGY - TITANS\AOMX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\SHIPPING\EOCAPP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\DIVINITY ORIGINAL SIN ENHANCED EDITION\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\FILEVIEWPRO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ПРОГРАММКИ\FILEVIEWPRO\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\MAXPAYNE2_CRACKED.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GAMES\MAX PAYNE 2\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUNLESS SEA\SUNLESS SEA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WITCHER 3 MOD TOOLS\WCC_LITE.EXE
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
+
добавьте новый образ автозапуска для контроля.
safety вне форума  
Старый 14.08.2017, 19:46   #5 (permalink)
obley
Member
 
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Сделано. Сработало или нет покажет время, но все равно спасибо за помощь!
http://www.tehnari.ru/attachment.php...1&d=1502725516
Вложения
Тип файла: 7z SOBAKEVICHPC09_2017-08-14_20-40-26.7z (596.9 Кб, 82 просмотров)
obley вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Старый 15.08.2017, 05:47   #6 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

файлик майнера остался в системе, но он уже неактивен, видимо какой-то из задач запускался.
+ еще сохранилась политика IPSec, которая была создана сетевым червем.

теперь зачистим его новым скриптом.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
addsgn 19E4D4F6426A4C720BD447384616ED52E6EC77BAACFA9998E3488199522E84CDCE15C3573EAC682FDC51E21AAEE32F0DAD268E519DBC39600873C2B7A1096BB0 8 Win32/BitCoinMiner 7

chklst
delvir

apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
REGT 26
REGT 25
deltmp
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 15.08.2017, 19:01   #7 (permalink)
obley
Member
 
Регистрация: 21.10.2014
Сообщений: 41
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 0
По умолчанию

Скрипт сделал malaware ничего не находит.
obley вне форума  
Старый 16.08.2017, 06:02   #8 (permalink)
safety
Member
 
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
По умолчанию

хорошо, понаблюдайте за состоянием системы.
если патч ms-2017 установлен, атака на систему должна прекратиться.
safety вне форума  
Ads

Яндекс

Member
 
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
Закрытая тема

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Выкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Выкл.




Часовой пояс GMT +4, время: 19:52.

Powered by vBulletin® Version 6.2.5.
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.