Процессор постоянно нагружен не менее, чем на 50%. В диспетчере задач не отображается процесс, нагружающий систему. Штатный майкрософтовский антивирус при запуске обнаружает и тут же помещает в карантин Trojan:Win32/Ceprolad.A. При этом в исключения ему добавляются несколько разделов, при удалении из исключений - восстанавливаются опять. В планировщике восстанавливается таск csrss.exe при каждом запуске. Cureit при проверке обнаруживает несколько троянов, но после перезагрузки они восстанавливаются. Собсна, в appdata постоянно восстанавливаются файлы cloudnet.exe и wup.exe. Ссылка на логи https://drive.google.com/file/d/1GVa2FstkC6MOfu6h3lCS97ea28o1far2/view?usp=sharing
Майнер
#1
Отправлено 28 Октябрь 2018 - 20:27
#2
Отправлено 28 Октябрь 2018 - 20:27
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 28 Октябрь 2018 - 23:49
Заахивируйте следующие папки:
C:\Users\Seregaz\AppData\Local\Temp\csrss
C:\Users\Seregaz\AppData\Local\Temp\wup
C:\Users\Seregaz\AppData\Roaming\Epicnet inc
C:\Windows\rss
C:\Program Files\AMD\CNext
И отправьте их в вирлаб https://vms.drweb.ru/sendvirus
мой девиз - служение злу, как у котика..
#4
Отправлено 29 Октябрь 2018 - 15:46
Заахивируйте следующие папки:
C:\Users\Seregaz\AppData\Local\Temp\csrss
C:\Users\Seregaz\AppData\Local\Temp\wup
C:\Users\Seregaz\AppData\Roaming\Epicnet inc
C:\Windows\rss
C:\Program Files\AMD\CNext
И отправьте их в вирлаб https://vms.drweb.ru/sendvirus
Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет. Архив с остальными папками не прикрепляется к письму вирлаб. Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодиске
#5
Отправлено 29 Октябрь 2018 - 16:04
отправил в вирлаб ссылку на архив на гуглодискеномер, что на почту в ответ пришёл тут напишите.
#7
Отправлено 29 Октябрь 2018 - 17:38
Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет.
Включите не только отображать скрытые файлы, но и скрытые системные файлы, это там же рядом, и посмотрите ещё раз папки, они могут быть созданы после перезагрузки системы например.
Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодиске
Наверное большой объём архива получился.
мой девиз - служение злу, как у котика..
#8
Отправлено 29 Октябрь 2018 - 18:24
Вот тут тоже интересности. Хоть эти папки (C:\Users\Seregaz\AppData\Local\Temp\csrss и C:\Windows\rss) упоминаются в таске и исключениях встроенного антивируса, на диске я их не наблюдаю. Показ скрытых папок включен, но этих нет.Включите не только отображать скрытые файлы, но и скрытые системные файлы, это там же рядом, и посмотрите ещё раз папки, они могут быть созданы после перезагрузки системы например.
Страница долго грузится после нажатия кнопки отправить и потом пишет ERR_CONNECTION_RESET. Поэтому отправил в вирлаб ссылку на архив на гуглодискеНаверное большой объём архива получился.
Кое-как успел отловить их и заархивировать. Отправил в вирлаб. [drweb.com #8426178].
#9
Отправлено 30 Октябрь 2018 - 17:34
Что имеем%: вирлаб ответил, что cureit обновлен, но имеем все примерно то же самое. Вирусы восстанавливаются после лечения и перезагрузки, создают задачи в планировщике, запускают майнер. Сейчас проверю все еще раз и пришлю свежие логи.
#10
Отправлено 30 Октябрь 2018 - 17:38
Еще заметил, что периодически сами по себе закрываются некоторые окна - планировщик, например. И хайджек тоже, причем, hijack.exe еще и удалился при этом. В планировщике создается не только задача crss, но еще и MRT. И cureit тоже через раз находит MRT.exe в разных местах, но при попытке лечить - ошибка лечения
#11
Отправлено 30 Октябрь 2018 - 17:56
логи. если от sysinfo надо - тоже прикреплю
Прикрепленные файлы:
#12
Отправлено 30 Октябрь 2018 - 18:15
Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?
But a thing of beauty, I know, will never fade away...
#13
Отправлено 30 Октябрь 2018 - 18:17
Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?
Сейчас попробую
#14
Отправлено 30 Октябрь 2018 - 18:19
Не пробовали полностью отключать службу планировщика заданий, затем перезагрузка и проверка cureit / live?
вопрос только в том, как?
#15
Отправлено 30 Октябрь 2018 - 18:20
вопрос только в том, как?через администрирование планировщик не отключается?
But a thing of beauty, I know, will never fade away...
#16
Отправлено 30 Октябрь 2018 - 18:23
вопрос только в том, как?через администрирование планировщик не отключается?
Если вы имеете в виду администрирование/службы, то нет.
#17
Отправлено 30 Октябрь 2018 - 18:25
сли вы имеете в виду администрирование/службы, то нет.
Ок. Если не разберётесь с загрузкой LiveUSB, расскажу в личке как отключить.
Сообщение было изменено usverg: 30 Октябрь 2018 - 18:27
But a thing of beauty, I know, will never fade away...
#18
Отправлено 30 Октябрь 2018 - 19:14
Seregaz, если коротко: то можете попробовать через regedit изменить значение "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Schedule" Start с двойки на четвёрку и перезагрузиться (подробности в личке).
Сообщение было изменено usverg: 30 Октябрь 2018 - 19:15
But a thing of beauty, I know, will never fade away...
#19
Отправлено 31 Октябрь 2018 - 17:46
сли вы имеете в виду администрирование/службы, то нет.Ок. Если не разберётесь с загрузкой LiveUSB, расскажу в личке как отключить.
dr web liveusb отказался загружаться. Что в графическом, что в консольном моде - зависает на загрузке raid6_pq и все. Сейчас еще поколдую, потом буду пытаться через реестр отключать планировщик
#20
Отправлено 31 Октябрь 2018 - 19:45
Итак, usblive не заработал, впрочем, как и утилита от касперского. Отключил планировщик через реестр, как посоветовали выше. При быстрой проверке cureit'ом все время находятся три файла(смотри лог). При запуске все также обнаруживается вирус(смотри скрин). Кстати говоря, проверка cureit'ом не обнаруживает процесс, который грузит процессор. То есть, проверил-полечил, hwmonitor показывает 50% нагрузки, хотя ничего более не запущено. Диспетчер задач показывает 50% - бездействие системы, у остального по нулям, либо пару % у пары процессов(смотри скрин2). Я в замешательстве. И в печали. Скрин не крепится, вот ссыль https://drive.google.com/open?id=1EtDDO7rj_5EHOMhH740wqmsSCr3tzrNF
Прикрепленные файлы:
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых