Статус:
Offline
Реєстрація: 22.10.2011
Повідом.: 587
Реєстрація: 22.10.2011
Повідом.: 587
Помогите пожалуйста разобраться с скрытым вирусом майнера
В общем поймал майнер, решения вроде нашел, но не пойму что такое uvs
1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
2. Скопируйте скрипт подготовленный для вас консультантом
3. Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."
4. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Вот сам код.
v400c
BREG
;---------command-block---------
delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON
apply
zoo %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
bl 461ADE40B800AE80A40985594E1AC236 116736
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8155D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 :RemAdmin.Win32.RDPWrap.h [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
bl B8667A1E84567FCF7821BCEFB6A444AF 1545216
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F11623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pm [*********] 7
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F11623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pn [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
bl 37A8802017A212BB7F5255ABC7857969 1789440
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pm [*********] 7
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pn [*********] 7
zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
bl 740B7EA15590D48E6ABBC75D6F7FEA62 2084864
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FFB5D18FC3813792F5BB0DD4C78774FE1196886F09810AEF1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
bl B674E20E041EB2A79BCF4927643D5F29 1015808
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 TrBankerWin32ClipBankergur [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
bl A74AD3584394B0766ADA52191B245013 2078208
addsgn BA6F9BB2BD1549720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
zoo %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\MSSENSE.EXE
bl B205A0D5885CE7EB8D51F92CC6AD2A8D 2889856
addsgn BA6F9BB2BD1549720B9C2D754C217CFBDA75303A4536D3B4490F09709C1ABD80EFDB0F9BF299FB2F249F009F461649FA35E4E59313D5B0DE5865ECEE06164484 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
chklst
delvir
regt 14
czoo
deltmp
restart
А вот человек писал о похожей проблеме.
Нашел процесс с помощью System Explorer,
"C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://91.217.81.205:3333 -u RandomX_CPU --donate-level=1 -k -t2"
С родительским процессом "C:\ProgramData\RealtekHD\taskhostw.exe"
Сначала по инструкции с другого форума попытался сделать лог через AVZ, но он тут же схлапывался при запуске
Затем нашел на этом форуме инструкции для лога UVS, собственно его и сделал
Заранее спасибо за помощь, без вас не справлюсь!
Майнер оказался очень сложным, он грузит на 100% видеокарту и процессор и выключаеться когда начинаеш что то делать, плюс он не показываеться в диспечере, и закрывает его, а так же закрывает программу для его выявления такую как Anvir. Удалось заснять этот процесс на видео C:\ProgramData\WindowsTask\MicrosoftHost.exe, но в данном месте оно ничего не находит хотя я поставил показывать все скрытое.
В общем поймал майнер, решения вроде нашел, но не пойму что такое uvs
1. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
2. Скопируйте скрипт подготовленный для вас консультантом
3. Выберите меню "Скрипт" => Выполнить скрипт находящийся в буфере обмена..."
4. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Вот сам код.
v400c
BREG
;---------command-block---------
delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG.JSON
apply
zoo %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
bl 461ADE40B800AE80A40985594E1AC236 116736
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8155D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 :RemAdmin.Win32.RDPWrap.h [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RFUSCLIENT.EXE
bl B8667A1E84567FCF7821BCEFB6A444AF 1545216
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F11623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pm [*********] 7
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6F11623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pn [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
bl 37A8802017A212BB7F5255ABC7857969 1789440
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pm [*********] 7
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6412623947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Backdoor.Win32.RMS.pn [*********] 7
zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
bl 740B7EA15590D48E6ABBC75D6F7FEA62 2084864
addsgn BA6F9BB2BDD5FF720B9C2D754C2124FBDA75303A02FFB5D18FC3813792F5BB0DD4C78774FE1196886F09810AEF1C4939355C045ABD5D982C2D3F21EFB30C9B65 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
bl B674E20E041EB2A79BCF4927643D5F29 1015808
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 TrBankerWin32ClipBankergur [*********] 7
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
bl A74AD3584394B0766ADA52191B245013 2078208
addsgn BA6F9BB2BD1549720B9C2D754C2160FBDA75303AC179F350C8488484185DBB05A8C62B5A3E559DF12A80849F0E958DD2BE1324BE1589F5A7353F2FF58685C18B 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
zoo %SystemDrive%\PROGRAM FILES\WINDOWS DEFENDER ADVANCED THREAT PROTECTION\MSSENSE.EXE
bl B205A0D5885CE7EB8D51F92CC6AD2A8D 2889856
addsgn BA6F9BB2BD1549720B9C2D754C217CFBDA75303A4536D3B4490F09709C1ABD80EFDB0F9BF299FB2F249F009F461649FA35E4E59313D5B0DE5865ECEE06164484 8 HEUR:Trojan.Win32.Miner.gen [*********] 7
chklst
delvir
regt 14
czoo
deltmp
restart
А вот человек писал о похожей проблеме.
Нашел процесс с помощью System Explorer,
"C:\ProgramData\WindowsTask\MicrosoftHost.exe -o stratum+tcp://91.217.81.205:3333 -u RandomX_CPU --donate-level=1 -k -t2"
С родительским процессом "C:\ProgramData\RealtekHD\taskhostw.exe"
Сначала по инструкции с другого форума попытался сделать лог через AVZ, но он тут же схлапывался при запуске
Затем нашел на этом форуме инструкции для лога UVS, собственно его и сделал
Заранее спасибо за помощь, без вас не справлюсь!
Майнер оказался очень сложным, он грузит на 100% видеокарту и процессор и выключаеться когда начинаеш что то делать, плюс он не показываеться в диспечере, и закрывает его, а так же закрывает программу для его выявления такую как Anvir. Удалось заснять этот процесс на видео C:\ProgramData\WindowsTask\MicrosoftHost.exe, но в данном месте оно ничего не находит хотя я поставил показывать все скрытое.
