Случайно подхватил майнер. Нужна помощь
BTC.mine.2782
Автор
Lukantrop
, мар 24 2025 11:42
15 ответов в этой теме
#2
Dr.Robot
-
- Helpers
- 3 359 Сообщений:
Poster
Отправлено 24 Март 2025 - 11:42
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Lukantrop
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 24 Март 2025 - 11:46
Случайно подхватил майнер. Нужна помощь
https://disk.yandex.ru/d/UiYGw09CLbWRCQссылка на логи curiet и sysinfo
#4
AndreyKa
-
- Posters
- 1 150 Сообщений:
Poster
Отправлено 24 Март 2025 - 12:48
Здравствуйте, Lukantrop!
В форме https://vms.drweb.com/sendvirus/приложите и отправьте файлы:
C:\Users\Public\Libraries\7e5e3fdf-3ab0-47ef-8896-e071a70a681a\SecurityCentreUtil.exe
C:\Users\Public\Libraries\7d64bf5a-1022-4e9c-9a3b-5e76a9745541\sultaskhostw.exe
как "Вирус, не определяемый Dr.Web" нажав кнопку [Обзор...], и вставив полный путь файла в поле Имя файла. И нажав [Открыть].
Сюда напишите номера тикетов (вида #123456), которые придут на почту.
https://www.virustotal.com/gui/file/99468456491e8edb8ae5b361e8e6134a2443380567a1b908786dab066a0f00d6
https://www.virustotal.com/gui/file/b46c803e7e14118c8797d13b13c6e3a13b36c316350e2fcef59044648b742011
Сообщение было изменено AndreyKa: 24 Март 2025 - 12:49
#5
AndreyKa
-
- Posters
- 1 150 Сообщений:
Poster
Отправлено 24 Март 2025 - 12:53
Установите архиватор 7-Zip https://www.7-zip.org/
Запустите его, перейдите в папку C:\ProgramData
добавьте в архив папку bf30ee5d-4767-4041-85e2-b73d7194f604
указав пароль virus
Архив загрузите на Яндекс Диск и пришлите мне ссылку через личное сообщение.
Сообщение было изменено AndreyKa: 24 Март 2025 - 12:53
#6
AndreyKa
-
- Posters
- 1 150 Сообщений:
Poster
Отправлено 24 Март 2025 - 13:06
И ещё один.
В форме https://vms.drweb.com/sendvirus/приложите и отправьте файл:
C:\Users\ROBER\AppData\Local\Temp\SvcHostPlayer.exe
Сюда напишите номера тикета (вида #123456), который придёт на почту.
https://www.virustotal.com/gui/file/7ecf5704118776019d3cdc9eb85ec3cb5b122a586aae53558456cc4ae76ba326
Сообщение было изменено AndreyKa: 24 Март 2025 - 13:07
#7
Lukantrop
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 24 Март 2025 - 13:18
drweb.com #11433980Здравствуйте, Lukantrop!
В форме https://vms.drweb.com/sendvirus/приложите и отправьте файлы:
C:\Users\Public\Libraries\7e5e3fdf-3ab0-47ef-8896-e071a70a681a\SecurityCentreUtil.exe
C:\Users\Public\Libraries\7d64bf5a-1022-4e9c-9a3b-5e76a9745541\sultaskhostw.exe
как "Вирус, не определяемый Dr.Web" нажав кнопку [Обзор...], и вставив полный путь файла в поле Имя файла. И нажав [Открыть].
Сюда напишите номера тикетов (вида #123456), которые придут на почту.
https://www.virustotal.com/gui/file/99468456491e8edb8ae5b361e8e6134a2443380567a1b908786dab066a0f00d6
https://www.virustotal.com/gui/file/b46c803e7e14118c8797d13b13c6e3a13b36c316350e2fcef59044648b742011
#8
Lukantrop
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 24 Март 2025 - 13:24
Установите архиватор 7-Zip https://www.7-zip.org/
Запустите его, перейдите в папку C:\ProgramData
добавьте в архив папку bf30ee5d-4767-4041-85e2-b73d7194f604
указав пароль virus
Архив загрузите на Яндекс Диск и пришлите мне ссылку через личное сообщение.
https://disk.yandex.ru/d/aGgILOi1B-aq6Q
#9
Lukantrop
-
- Posters
- 6 Сообщений:
Newbie
Отправлено 24 Март 2025 - 13:27
drweb.com #11433984И ещё один.
В форме https://vms.drweb.com/sendvirus/приложите и отправьте файл:
C:\Users\ROBER\AppData\Local\Temp\SvcHostPlayer.exe
Сюда напишите номера тикета (вида #123456), который придёт на почту.
https://www.virustotal.com/gui/file/7ecf5704118776019d3cdc9eb85ec3cb5b122a586aae53558456cc4ae76ba326
#10
AndreyKa
-
- Posters
- 1 150 Сообщений:
Poster
Отправлено 24 Март 2025 - 14:24
C:\Users\ROBER\AppData\Local\Temp\SvcHostPlayer.exe
сам отправил на всякий случай
[drweb.com #11434014].
#11
Dmitry Shutov
-
- Virus Hunters
- 1 744 Сообщений:
Poster
Отправлено 24 Март 2025 - 14:31
Установите архиватор 7-Zip https://www.7-zip.org/
Запустите его, перейдите в папку C:\ProgramData
добавьте в архив папку bf30ee5d-4767-4041-85e2-b73d7194f604
указав пароль virus
Архив загрузите на Яндекс Диск и пришлите мне ссылку через личное сообщение.https://disk.yandex.ru/d/aGgILOi1B-aq6Q
Тоже выслал....на VT не было еще загружено. Так скажем ускорил, без обид. (drweb.com #11434012)
#13
Alexander007
-
- Posters
- 2 054 Сообщений:
Foreign Doctor
Отправлено 24 Март 2025 - 15:27
что дальше делать?
Cм. в ЛС.
Global Malware Hunting.
#14
Dmitry Shutov
-
- Virus Hunters
- 1 744 Сообщений:
Poster
Отправлено 24 Март 2025 - 17:06
https://disk.yandex.ru/d/aGgILOi1B-aq6QУстановите архиватор 7-Zip https://www.7-zip.org/
Запустите его, перейдите в папку C:\ProgramData
добавьте в архив папку bf30ee5d-4767-4041-85e2-b73d7194f604
указав пароль virus
Архив загрузите на Яндекс Диск и пришлите мне ссылку через личное сообщение.
Угроза: Trojan.Siggen31.3856
#15
AndreyKa
-
- Posters
- 1 150 Сообщений:
Poster
Отправлено 24 Март 2025 - 18:46
C:\Users\Public\Libraries\7e5e3fdf-3ab0-47ef-8896-e071a70a681a\SecurityCentreUtil.exe
Trojan.Siggen31.3855
C:\Users\Public\Libraries\7d64bf5a-1022-4e9c-9a3b-5e76a9745541\sultaskhostw.exe
Trojan.Siggen31.3856
Lukantrop, скачивайте новый CureIt, проверяйте компьютер.
#16
Severnyj
-
- Posters
- 162 Сообщений:
Member
Отправлено 24 Март 2025 - 21:33
Я бы пролечил еще FRST. В реестре через Debugger (Stack Rumbling) много блокировок.
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
