Перейти к содержимому


Фото
- - - - -

ToolBtcMine2289 устанавливается снова после чистки CureIt!

ToolBtcMine 2289 CPU GPU Bitcoin Scrcons.cmd wbemtest.cmd wmiprvsf.exe

  • Please log in to reply
20 ответов в этой теме

#1 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 19:18

Помогите христа ради, второй день меня беспокоит майнер, точнее второй день как я о нем знаю. Заметил, что в отсутствие всяких процессов просто с открытым десктопом ноут нарубает кулер ощутимо слышимо, хотя казалось бы зачем, если процессы не работают. Заходя в диспетчер задач каждый раз, на секунду можно было заметить/поймать тут же ускользающий процесс WMIprvSF.exe, который загружает ЦП в момент открытия диспетчера на 100%. Ну и бог бы с ним, подумал я, буду сидеть с открытым диспетчером и все тогда будет в порядке, но тогда диспетчер стал закрываться сам, не сразу, спустя минут 5 после его открытия. Разобравшись в вопросе, я понял что передо мной майнер, оставалось только убедиться в этом окончательно, для чего была использована утилита CureIt!, которая подтвердила наличие майнера с названием ToolBtcMine2289, который замаскировался под процесс системной WMIprvSF.exe. Также с помощью утилиты я удалил данную нечистоту с компьютера вместе с сопутствующими scrcons.cmd и wbemtest.cmd, ощутив при этом поток силы и спокойствия, который поселился в моем ноутбуке, потому что ЦП больше не грузилось, ноут вел себя спокойно и без открытого диспетчера, и кулер не шумел, температура процессора установилась 33 градуса. На следующий же день (в который пишу это) я обнаружил, что температура видеокарты поднялась до 85 градусов, процессор не отставал и выдавал переменные 60-70 градусов. Зайдя в процессы я снова обнаружил тот самый WMI, который находился в папке Windows, а не в System32, и был скрытым, хотя и подпись стояла ©Microsoft Corporation, после проверки CureIt! снова обнаружился тот же самый майнер, который я решил поместить в карантин вместе с сопутствующими файлами, и после помещения файл из папки Windows пропал(то бишь переместился), дав окончательно понять, что проблемой является он. Но это ведь не причина, есть еще и установщик этого майнера, который, как показали подробности о времени появлении этой программы в моем устройстве, установил майнер снова в 0:08, пока я спокойно спал, думая, что победил. Поэтому внимание, знатоки, помогите решить данную проблему, чтобы работе ноутбука ничего не мешало, чтобы у меня оператива не была загружена на 6гб из 16, когда компьютер ничего не делает, чтобы процессор не был загружен на 100, пока я не держу открытым пресловутый диспетчер задач, чтобы темпа видюхи была 36 градусов или ниже, когда она не задействована. P.S.: прошу быть снисходительнее и по возможности подробнее обьяснять, куда что жать, чтобы я не задавал впоследствии лишних вопросов и не тратил ничье время (я являюсь недостаточно уверенным пользователем, приношу свои извинения).

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 085 Сообщений:

Отправлено 05 Июль 2020 - 19:18

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 santy

santy

    Member

  • Posters
  • 239 Сообщений:

Отправлено 05 Июль 2020 - 19:42

+

добавьте образ автозапуска uVS



#4 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 19:59

+

добавьте образ автозапуска uVS

Прикрепленные файлы:



#5 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 05 Июль 2020 - 20:07

C:\windows\logs\wmiadap.vbs

Такого файла в данном месте быть не должно. Удалите/переименуйте. Это раз.

Логи лучше собирать с помощью DrWeb Sysinfo (ссылка есть в п.1 сообщения от робота). Это два.

Ну и проверьте Планировщик заданий, там может быть вызов этого wmiadap. Это три.



#6 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 21:06

C:\windows\logs\wmiadap.vbs

Такого файла в данном месте быть не должно. Удалите/переименуйте. Это раз.

Логи лучше собирать с помощью DrWeb Sysinfo (ссылка есть в п.1 сообщения от робота). Это два.

Ну и проверьте Планировщик заданий, там может быть вызов этого wmiadap. Это три.

 

Прикрепляю архив с файлами, сделанный с помощью DrWeb Sysinfo. WMIADAP.vbs переименовал и удалил, перезагрузил пк, больше не появлялся (возможно, пока). Забыл добавить, что вчера, кстати, тоже заходил в логи, удалял все 5 файлов (wmiadap.vbs и другие 4 снизу)(см. скрин 1), как видим, сегодня появились снова, авторских прав нет, атрибуты странные. Пока загружал архив на диск, доктор обезвредил еще какой-то inst.bat (см. скрин 2), это уже что-то новенькое. https://drive.google.com/drive/folders/1MVNCspM8obMX2OeD5CpEny3t_WhuYqSy?usp=sharing

Прикрепленные файлы:


Сообщение было изменено KPOJlb4ATKA: 05 Июль 2020 - 21:06


#7 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 05 Июль 2020 - 21:30

Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com



#8 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 21:44

Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com

Файл WMIADAP.vbs успешно восстановился, заметил это, когда стал закидывать файлы в вирлаб, что он снова в списке, где были другие 4 файла в папке Logs, сейчас на каждый из них прикреплю результаты с VT

Прикрепленные файлы:



#9 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 22:44

Ни set.vbs, ни wlogs.exe, ни wls.xml в этой папке быть не должно. С очень большой вероятностью - это компоненты одного трояна. Все файлы отошлите в вирлаб, ну и проверьте на virustotal.com

Возможно, это как-то поможет, нашел статью по поводу трояна, крайне схоже с моей ситуацией: https://vms.drweb.ru/virus/?i=16963491  
Некоторые из файлов, описанные в статье, есть и у меня по тем же путям, что и в статье, а именно: regasm.exe; config.json. Ну и не считая тех, что мы уже раскрыли (set.vbs; wbemtest.vbs; wlogs.exe; wls.xml; WMIADAP.vbs; scrcons.cmd; WmiPrvSF.exe). Других файлов, указанных в списке с статье, на компе не обнаружил (скрытые файлы показываются). Жду дальнейших указаний



#10 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 05 Июль 2020 - 23:24

Да, может помочь. Удаляйте все файлы, которые созданы (изменения в файловой системе), удаляйте задания Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask и Microsoft\Windows\Diagnosis\WinLogService из Планировщика.



#11 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 23:48

Да, может помочь. Удаляйте все файлы, которые созданы (изменения в файловой системе), удаляйте задания Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask и Microsoft\Windows\Diagnosis\WinLogService из Планировщика.

Оставлю это сразу в теме: C:\Windows\ehome\MsMediaCenter
По этому пути лежит файл wmserv.exe, результаты проверки VT прикрепил

Прикрепленные файлы:



#12 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 05 Июль 2020 - 23:54

Обычно по этому пути располагается стандартный виндовый Медиацентр, ну а подозрительный файл (если Веб его не детектит) - в вирлаб, несомненно.



#13 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 05 Июль 2020 - 23:58

Обычно по этому пути располагается стандартный виндовый Медиацентр, ну а подозрительный файл (если Веб его не детектит) - в вирлаб, несомненно.

Поздно, уже удалил. Подчищаю все это, как вы и сказали, попутно проверяя все папки и файлы на подозрительную внешность и бандитский облик так сказать. Когда закончу чистить, что мне делать потом? Как убедиться, что работа завершена или, может, она не будет завершена и все снова повторится?



#14 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 06 Июль 2020 - 00:13

Перезагрузиться и ждать. ) Если что-то жизнеспособное где-то осталось - то повторится. Ну и хорошо бы задуматься, где и когда (предположительно) вы могли это подцепить.



#15 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 06 Июль 2020 - 01:59

Нашел еще что-то непонятное, пишу если вдруг у кого-то случится подобное (не дай боже)

Путь: C:\Windows\Media\Update\updatem.exe
Данное нечто было найдено с помощью autoruns, VT показал результаты

Прикрепленные файлы:



#16 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 06 Июль 2020 - 02:09

Да, он тоже был при делах. В вирлаб.

20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - BINARYRES container
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - ZLIB container
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - Ok
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - RAR archive
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - Ok
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - Ok (2,9M/2,9M 251/250ms 11913KB/s) [C:\windows\system32\svchost.exe:1348:64] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.bat - infected with BAT.Obfuscated.2
20200705.201101 .598 [1480] [CL,LO] C:\Windows\ehome\MsMediaCenter\log.vbs - Ok (116B 6/5ms 19KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [1476] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.vbs - Ok (112B 5/3ms 33KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\update.bat - infected with BAT.Obfuscated.2
20200705.201101 .660 [1172] [CL,LO] C:\Windows\ehome\MsMediaCenter\index.xml - Ok (3,2K 3ms 1036KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}



#17 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 06 Июль 2020 - 02:18

 

Да, он тоже был при делах. В вирлаб.

20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - BINARYRES container
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - ZLIB container
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data001 - Ok
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - RAR archive
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe\data002 - Ok
20200705.201101 .364 [5124] [PS,HI] C:\Windows\Media\Update\updatem.exe - Ok (2,9M/2,9M 251/250ms 11913KB/s) [C:\windows\system32\svchost.exe:1348:64] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.bat - infected with BAT.Obfuscated.2
20200705.201101 .598 [1480] [CL,LO] C:\Windows\ehome\MsMediaCenter\log.vbs - Ok (116B 6/5ms 19KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [1476] [CL,LO] C:\Windows\ehome\MsMediaCenter\up.vbs - Ok (112B 5/3ms 33KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}
20200705.201101 .598 [4836] [CL,LO] C:\Windows\ehome\MsMediaCenter\update.bat - infected with BAT.Obfuscated.2
20200705.201101 .660 [1172] [CL,LO] C:\Windows\ehome\MsMediaCenter\index.xml - Ok (3,2K 3ms 1036KB/s) [C:\windows\media\update\updatem.exe:6244:32] {DESKTOP-7AQ9FKU\Vanya:DESKTOP-7AQ9FKU\Отсутствует}

Я нашел еще несколько задач через autoruns в планировщике заданий, которые были связаны с mediacenter вот этим всем, завершил, отключил, удалил, больше ничего не нашел ВРОДЕ ))
Не могу сказать с полной уверенностью, так как время покажет, но похоже на то, что мы с вами попустили эту пожилую напасть, так что спасибо вам за помощь, я очень сильно вам признателен и благодарен!



#18 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 06 Июль 2020 - 02:23

Мне-то не за что. А вот если вы эти файлы отправили в вирлаб, то тысячи пользователей вам скажут "спасибо"! А вот если не отправили.... нехорошо поступаете, тов. KPOJlb4ATKA!



#19 KPOJlb4ATKA

KPOJlb4ATKA

    Newbie

  • Posters
  • 12 Сообщений:

Отправлено 06 Июль 2020 - 02:27

Мне-то не за что. А вот если вы эти файлы отправили в вирлаб, то тысячи пользователей вам скажут "спасибо"! А вот если не отправили.... нехорошо поступаете, тов. KPOJlb4ATKA!

Я отправил то, что мои руки не успели удалить, то есть большую часть и самые основные, просто у меня самые быстрые руки на диком западе, если вы понимаете, о чем я. Кстати, пользуясь случаем, хочу спросить: большое количество процессов svchost.exe, а именно 71, является признаком чего-то плохого? Вопрос к вам, как к гуру, поймите правильно



#20 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 621 Сообщений:

Отправлено 06 Июль 2020 - 02:32

Нет, не является. Это хост-процесс для служб Windows, так и должно быть.





Also tagged with one or more of these keywords: ToolBtcMine, 2289, CPU, GPU, Bitcoin, Scrcons.cmd, wbemtest.cmd, wmiprvsf.exe

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых