Помогите христа ради, второй день меня беспокоит майнер, точнее второй день как я о нем знаю. Заметил, что в отсутствие всяких процессов просто с открытым десктопом ноут нарубает кулер ощутимо слышимо, хотя казалось бы зачем, если процессы не работают. Заходя в диспетчер задач каждый раз, на секунду можно было заметить/поймать тут же ускользающий процесс WMIprvSF.exe, который загружает ЦП в момент открытия диспетчера на 100%. Ну и бог бы с ним, подумал я, буду сидеть с открытым диспетчером и все тогда будет в порядке, но тогда диспетчер стал закрываться сам, не сразу, спустя минут 5 после его открытия. Разобравшись в вопросе, я понял что передо мной майнер, оставалось только убедиться в этом окончательно, для чего была использована утилита CureIt!, которая подтвердила наличие майнера с названием ToolBtcMine2289, который замаскировался под процесс системной WMIprvSF.exe. Также с помощью утилиты я удалил данную нечистоту с компьютера вместе с сопутствующими scrcons.cmd и wbemtest.cmd, ощутив при этом поток силы и спокойствия, который поселился в моем ноутбуке, потому что ЦП больше не грузилось, ноут вел себя спокойно и без открытого диспетчера, и кулер не шумел, температура процессора установилась 33 градуса. На следующий же день (в который пишу это) я обнаружил, что температура видеокарты поднялась до 85 градусов, процессор не отставал и выдавал переменные 60-70 градусов. Зайдя в процессы я снова обнаружил тот самый WMI, который находился в папке Windows, а не в System32, и был скрытым, хотя и подпись стояла ©Microsoft Corporation, после проверки CureIt! снова обнаружился тот же самый майнер, который я решил поместить в карантин вместе с сопутствующими файлами, и после помещения файл из папки Windows пропал(то бишь переместился), дав окончательно понять, что проблемой является он. Но это ведь не причина, есть еще и установщик этого майнера, который, как показали подробности о времени появлении этой программы в моем устройстве, установил майнер снова в 0:08, пока я спокойно спал, думая, что победил. Поэтому внимание, знатоки, помогите решить данную проблему, чтобы работе ноутбука ничего не мешало, чтобы у меня оператива не была загружена на 6гб из 16, когда компьютер ничего не делает, чтобы процессор не был загружен на 100, пока я не держу открытым пресловутый диспетчер задач, чтобы темпа видюхи была 36 градусов или ниже, когда она не задействована. P.S.: прошу быть снисходительнее и по возможности подробнее обьяснять, куда что жать, чтобы я не задавал впоследствии лишних вопросов и не тратил ничье время (я являюсь недостаточно уверенным пользователем, приношу свои извинения).
ToolBtcMine2289 устанавливается снова после чистки CureIt!
#1
Отправлено 05 Июль 2020 - 19:18
#2
Отправлено 05 Июль 2020 - 19:18
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
#3
Отправлено 05 Июль 2020 - 19:42
+
добавьте образ автозапуска uVS
#4
Отправлено 05 Июль 2020 - 19:59
+
добавьте образ автозапуска uVS
Прикрепленные файлы:
#5
Отправлено 05 Июль 2020 - 20:07
C:\windows\logs\wmiadap.vbs
Такого файла в данном месте быть не должно. Удалите/переименуйте. Это раз.
Логи лучше собирать с помощью DrWeb Sysinfo (ссылка есть в п.1 сообщения от робота). Это два.
Ну и проверьте Планировщик заданий, там может быть вызов этого wmiadap. Это три.
#6
Отправлено 05 Июль 2020 - 21:06
C:\windows\logs\wmiadap.vbsТакого файла в данном месте быть не должно. Удалите/переименуйте. Это раз.
Логи лучше собирать с помощью DrWeb Sysinfo (ссылка есть в п.1 сообщения от робота). Это два.
Ну и проверьте Планировщик заданий, там может быть вызов этого wmiadap. Это три.
Прикрепляю архив с файлами, сделанный с помощью DrWeb Sysinfo. WMIADAP.vbs переименовал и удалил, перезагрузил пк, больше не появлялся (возможно, пока). Забыл добавить, что вчера, кстати, тоже заходил в логи, удалял все 5 файлов (wmiadap.vbs и другие 4 снизу)(см. скрин 1), как видим, сегодня появились снова, авторских прав нет, атрибуты странные. Пока загружал архив на диск, доктор обезвредил еще какой-то inst.bat (см. скрин 2), это уже что-то новенькое. https://drive.google.com/drive/folders/1MVNCspM8obMX2OeD5CpEny3t_WhuYqSy?usp=sharing
Прикрепленные файлы:
Сообщение было изменено KPOJlb4ATKA: 05 Июль 2020 - 21:06
#7
Отправлено 05 Июль 2020 - 21:30
Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com
#8
Отправлено 05 Июль 2020 - 21:44
Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com
Файл WMIADAP.vbs успешно восстановился, заметил это, когда стал закидывать файлы в вирлаб, что он снова в списке, где были другие 4 файла в папке Logs, сейчас на каждый из них прикреплю результаты с VT
Прикрепленные файлы:
#9
Отправлено 05 Июль 2020 - 22:44
Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com
Возможно, это как-то поможет, нашел статью по поводу трояна, крайне схоже с моей ситуацией: https://vms.drweb.ru/virus/?i=16963491
Некоторые из файлов, описанные в статье, есть и у меня по тем же путям, что и в статье, а именно: regasm.exe; config.json. Ну и не считая тех, что мы уже раскрыли (set.vbs; wbemtest.vbs; wlogs.exe; wls.xml; WMIADAP.vbs; scrcons.cmd; WmiPrvSF.exe). Других файлов, указанных в списке с статье, на компе не обнаружил (скрытые файлы показываются). Жду дальнейших указаний
#10
Отправлено 05 Июль 2020 - 23:24
Да, может помочь. Удаляйте все файлы, которые созданы (изменения в файловой системе), удаляйте задания Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask и Microsoft\Windows\Diagnosis\WinLogService из Планировщика.
#11
Отправлено 05 Июль 2020 - 23:48
Да, может помочь. Удаляйте все файлы, которые созданы (изменения в файловой системе), удаляйте задания Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask и Microsoft\Windows\Diagnosis\WinLogService из Планировщика.
Оставлю это сразу в теме: C:\Windows\ehome\MsMediaCenter
По этому пути лежит файл wmserv.exe, результаты проверки VT прикрепил
Прикрепленные файлы:
#12
Отправлено 05 Июль 2020 - 23:54
Обычно по этому пути располагается стандартный виндовый Медиацентр, ну а подозрительный файл (если Веб его не детектит) - в вирлаб, несомненно.
#13
Отправлено 05 Июль 2020 - 23:58
Обычно по этому пути располагается стандартный виндовый Медиацентр, ну а подозрительный файл (если Веб его не детектит) - в вирлаб, несомненно.
Поздно, уже удалил. Подчищаю все это, как вы и сказали, попутно проверяя все папки и файлы на подозрительную внешность и бандитский облик так сказать. Когда закончу чистить, что мне делать потом? Как убедиться, что работа завершена или, может, она не будет завершена и все снова повторится?
#14
Отправлено 06 Июль 2020 - 00:13
Перезагрузиться и ждать. ) Если что-то жизнеспособное где-то осталось - то повторится. Ну и хорошо бы задуматься, где и когда (предположительно) вы могли это подцепить.
#15
Отправлено 06 Июль 2020 - 01:59
Нашел еще что-то непонятное, пишу если вдруг у кого-то случится подобное (не дай боже)
Путь: C:\Windows\Media\Update\updatem.exe
Данное нечто было найдено с помощью autoruns, VT показал результаты
Прикрепленные файлы:
#16
Отправлено 06 Июль 2020 - 02:09
Да, он тоже был при делах. В вирлаб.
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - BINARYRES container 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - ZLIB container 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - Ok 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - RAR archive 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - Ok 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - Ok (2,9M/2,9M 251/250ms 11913KB/s) [C:\windows\system32\svchost.exe:1348:64] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.bat - infected with BAT.Obfuscated.2 20200705.201101 .598 [1480] [CL,LO] C:\Windows\ehome\MsMediaCenter\log.vbs - Ok (116B 6/5ms 19KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [1476] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.vbs - Ok (112B 5/3ms 33KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\update.bat - infected with BAT.Obfuscated.2 20200705.201101 .660 [1172] [CL,LO] C:\Windows\ehome\MsMediaCenter\index.xml - Ok (3,2K 3ms 1036KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
#17
Отправлено 06 Июль 2020 - 02:18
Да, он тоже был при делах. В вирлаб.
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - BINARYRES container 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - ZLIB container 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - Ok 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - RAR archive 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - Ok 20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - Ok (2,9M/2,9M 251/250ms 11913KB/s) [C:\windows\system32\svchost.exe:1348:64] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.bat - infected with BAT.Obfuscated.2 20200705.201101 .598 [1480] [CL,LO] C:\Windows\ehome\MsMediaCenter\log.vbs - Ok (116B 6/5ms 19KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [1476] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.vbs - Ok (112B 5/3ms 33KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует} 20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\update.bat - infected with BAT.Obfuscated.2 20200705.201101 .660 [1172] [CL,LO] C:\Windows\ehome\MsMediaCenter\index.xml - Ok (3,2K 3ms 1036KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}Я нашел еще несколько задач через autoruns в планировщике заданий, которые были связаны с mediacenter вот этим всем, завершил, отключил, удалил, больше ничего не нашел ВРОДЕ ))
Не могу сказать с полной уверенностью, так как время покажет, но похоже на то, что мы с вами попустили эту пожилую напасть, так что спасибо вам за помощь, я очень сильно вам признателен и благодарен!
#18
Отправлено 06 Июль 2020 - 02:23
Мне-то не за что. А вот если вы эти файлы отправили в вирлаб, то тысячи пользователей вам скажут "спасибо"! А вот если не отправили.... нехорошо поступаете, тов. KPOJlb4ATKA!
#19
Отправлено 06 Июль 2020 - 02:27
Мне-то не за что. А вот если вы эти файлы отправили в вирлаб, то тысячи пользователей вам скажут "спасибо"! А вот если не отправили.... нехорошо поступаете, тов. KPOJlb4ATKA!
Я отправил то, что мои руки не успели удалить, то есть большую часть и самые основные, просто у меня самые быстрые руки на диком западе, если вы понимаете, о чем я. Кстати, пользуясь случаем, хочу спросить: большое количество процессов svchost.exe, а именно 71, является признаком чего-то плохого? Вопрос к вам, как к гуру, поймите правильно
#20
Отправлено 06 Июль 2020 - 02:32
Нет, не является. Это хост-процесс для служб Windows, так и должно быть.
Also tagged with one or more of these keywords: ToolBtcMine, 2289, CPU, GPU, Bitcoin, Scrcons.cmd, wbemtest.cmd, wmiprvsf.exe
|
Русские форумы →
Антивирусная лаборатория →
Помощь по лечению →
ToolBtcMine.2711 и AutoIt.1224Автор: S1ddy , 18 авг 2023 trojan, ToolBtcMine, AutoIt |
|
|
|
English forums →
Dr.Web for Windows (English) →
Workstations →
Dr. Web Net Filtering Service - CPU running 100%Автор: Will80 , 24 июл 2020 cpu, 100%, net filtering service |
|
|
||
|
Русские форумы →
Общие вопросы →
Bitcoin-miner детекторАвтор: kolivanov , 07 ноя 2017 bitcoin |
|
|
|
Русские форумы →
Dr.Web Enterprise Suite →
Загрузка процессора на 100% из-за dwnetfilter.exeАвтор: ValdiS_41 , 14 ноя 2016 dwnetfilter.exe, CPU и еще 1… |
|
|
||
Русские форумы →
Свободное общение →
Недавно пробегал слух, что bitcoin конец приходит.Автор: Jedi-to-be , 17 мар 2012 bitcoin |
|
|
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых