Привет! 

Докато се опитвах да си намеря една програма за нестинг, успях да си закача coinminer. Гадината упорито се крие в какви ли не директории и под какви ли не имена... До тук успях само да го идентифицирам, като през command prompt зададох да показва всички скрити файлове. Но при опит да вляза в директория - килва всичко отворено. 

По съвет на колега от друг форум, направих бутъбъл флашка с Касперски и чистих от нея. Принципно го хвана, уж го изтри, но при нормално стартиране пак е тук. И, разбира се, сменя локацията си. До преди чистенето с Касперски не позволяваше качване или стартиране на антивирусна, сега поне успях да подкарам NOD32. Още сканира, но пак е хванало 6-7 обекта, т.е. гадинката все още е налична. 

Абсолютно всякакви съвети и идеи приемам, само преинсталирането ми е тотално последен вариант, че ще кавам програми наново от тук до края на света и обратно... А и както крие файлове къде ли не - като нищо ще го прехвърля и в чистата ОС, та съвсем ще е безмислено упражнението. 

преди 5 минути, Lora Dacheva написа:

Привет! 

Докато се опитвах да си намеря една програма за нестинг, успях да си закача coinminer. Гадината упорито се крие в какви ли не директории и под какви ли не имена... До тук успях само да го идентифицирам, като през command prompt зададох да показва всички скрити файлове. Но при опит да вляза в директория - килва всичко отворено. 

По съвет на колега от друг форум, направих бутъбъл флашка с Касперски и чистих от нея. Принципно го хвана, уж го изтри, но при нормално стартиране пак е тук. И, разбира се, сменя локацията си. До преди чистенето с Касперски не позволяваше качване или стартиране на антивирусна, сега поне успях да подкарам NOD32. Още сканира, но пак е хванало 6-7 обекта, т.е. гадинката все още е налична. 

Абсолютно всякакви съвети и идеи приемам, само преинсталирането ми е тотално последен вариант, че ще кавам програми наново от тук до края на света и обратно... А и както крие файлове къде ли не - като нищо ще го прехвърля и в чистата ОС, та съвсем ще е безмислено упражнението. 

Посетете тази тема и изпълнете стъпките в нея. Човек от HJT Team, когато има време ще помогне.

Благодаря за насоките! Прикачвам двата файла тук 

FRST.txt Addition.txt

Ако можеш изтегли и сканирай с mbam докато чакаш.

Привет,

Сега ще прегледам лог файлове.

За Бога. Вие сте стартирали всяка една защитна програма налична в нета....

Изтеглете fixlist.txtи го запазете в папката, където сте свалили FRST64.exe (Desktop\Downloading for erase).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Прикачете лог файла Fixlog.txt в следващия си коментар и пишете дали проблема остава.

 

Autoruns също може да ви е от полза. Проверете за съмнителни стартиращи се файлове със системата. Също така можете да цъкнете на Options>Scan Options и да маркирате Chek Virustotal. От дясно на списъка ще ви покаже потенциалните заплахи. Ако видите такива ги изключете, да не се стартират и рестартирайте PC-то!

преди 1 час, B-boy/StyLe/ написа:

Привет,

Сега ще прегледам лог файлове.

За Бога. Вие сте стартирали всяка една защитна програма налична в нета....

 

Ами... Какво да кажа - зор 😄 А и по мой си обичай - ако ще съсипвам нещо, то трябва да е съсипано "един път"

Докато ми отговорите мина една чистка и с NOD32, изчисти 18 файла (според доклада в статистиката). След като приключи изпълних инструкциите и рестартирах машината. Прикачвам файла 

Fixlog.txt

По принцип не е добра идея да сканирате с каквото и да било след като сте дали вече лог файловете от FRST, защото това би променило ситуацията и скрипта не би бил достатъчно ефективен.

Колкото до остатъците е напълно възможно тези папки в този случай да са създадени от самия miner, защото попаднах на подобна ситуация във форума на dr.web.

https://forum.drweb.com/index.php?showtopic=337617&page=2#entry911275

Направете нова проверка с FRST с бутона SCAN и прикачете новите лог файлове.

Поздрави!

Свалям отново fixlist.txt и сканирам? Прикачвам файла 

Fixlog.txt

Редактирано 20 юли 20241 г. от Lora Dacheva
Добавяне на прикачен файл (преглед на промените)

преди 1 час, Lora Dacheva написа:

Свалям отново fixlist.txt и сканирам? Прикачвам файла 

Fixlog.txt 12.25 kB · 0 изтегляния

Не. Както писах пускате FRST64.exe и натискате бутона SCAN (не FIX) и прикачвате новите два лог файла - FRST.txt и Addition.txt.

преди 1 час, B-boy/StyLe/ написа:

Направете нова проверка с FRST с бутона SCAN и прикачете новите лог файлове.

Добро утро! Обикновено не съм чак толкова руса 😄 от преумората е било снощи (плюс радостта, че спря лаптопа да звучи като излитащ самолет). Прикачвам новите два файла.

Addition.txt FRST.txt

Добро утро, Лора.

Никъде не съм го твърдял.

Заразата би трябвало вече да я няма. Нека да почистим остатъците от нея. От защитните програми няма да закачам само Malwarebytes и Eset Online Scanner-a.

Изтеглете новия файл fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (Desktop\Downloading for erase).

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Прикачете лог файла Fixlog.txt в следващия си коментар и пишете дали проблема остава.

 

Поздрави!

Привет! До колкото поразцъках - всичко работи. Като поведение на машината за сега не виждам да има проблем, единствено няма как толкова бързо да проверя дали чистката с толкова много програми (която аз правих) не ми е съсипала нещо по работния софтуер (всичкия лекуван, типично по български). 

Много, много благодаря за помощта! Ако някога имате нужда от персонализиран подарък от дърво или метал - ще почерпя 😊

П.П. Прикачвам файла след последната чистка. 

Fixlog.txt

Здравейте,

Няма нужда от почерпка, но можете на лично да ми дадете линка към сайта си. Може да купя някой път нещо за подарък (защото е трудно човек да не се повтаря при купуването на подаръци).

Лог файла изглежда наред.

Само следните 2 файла не ми допадат нещо:

C:\Program Files\JRuler.exe

https://virusscan.jotti.org/filescanjob/lh6bgkmb74

C:\Program Files\V12 Support.exe

https://virusscan.jotti.org/filescanjob/k6w52lzqby

и моя съвет е да ги изтриете.

Иначе следния е ясно защо се засича. Програмите за отдалечен достъп нормално се засичат:

C:\Program Files\winvnc.exe

https://virusscan.jotti.org/filescanjob/z7av9we9z3

 

Можете да деинсталирате FRST по следния начин:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.17.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред "Delete in 7 days" и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Добра идея е да сложите нещо срещу Ransomware към наличната антивирусна програма, защото Defender-a макар и добър, срещу ransomware има нужда от подпомагане. Но не ползвайте и MBAM в реално време, че ще станат много! Нея я оставете само като второстепенен скенер или я деинсталирайте.

Добър инструмент в тази насока е AppCheck Anti-Ransomware.

https://www.kaldata.com/софтуер/appcheck-anti-ransomware-274541.html

Разбира се бекъп на важните документи също си остава задължителен навик.

Поздрави!

 

  

преди 1 час, Lora Dacheva написа:

Ако някога имате нужда от персонализиран подарък от дърво или метал - ще почерпя 😊

И аз бих хвърлил едно око на магазина

преди 1 час, Lora Dacheva написа:

Привет! До колкото поразцъках - всичко работи. Като поведение на машината за сега не виждам да има проблем, единствено няма как толкова бързо да проверя дали чистката с толкова много програми (която аз правих) не ми е съсипала нещо по работния софтуер (всичкия лекуван, типично по български). 

Много, много благодаря за помощта! Ако някога имате нужда от персонализиран подарък от дърво или метал - ще почерпя 😊

П.П. Прикачвам файла след последната чистка. 

Fixlog.txt 29.07 kB · 1 изтегляне

Не, че им правя реклама, но досега не съм виждал нещо да се измъкне след намесата на HJT Team. Уникални професионалисти. На мен лично са ми помагали няколко пъти.

Докато се изпълняваше KpRm показа следния фейл

Добавям текстовия файл като прикачен.

Относно

преди 58 минути, B-boy/StyLe/ написа:

Само следните 2 файла не ми допадат нещо:

C:\Program Files\JRuler.exe

https://virusscan.jotti.org/filescanjob/lh6bgkmb74

C:\Program Files\V12 Support.exe

https://virusscan.jotti.org/filescanjob/k6w52lzqby

и моя съвет е да ги изтриете.

Нямам и капка съмнение в сигурността на двата файла, правени са от мой много добър приятел програмист. Но е по-лесно човек да получи аудиенция при английската кралица, отколкото да открие него за работа през летния сезон  

 

П.П. За магазина ще пиша на лично и на двама ви  

 

kprm-20240721173514.txt

преди 3 минути, Lora Dacheva написа:

Докато се изпълняваше KpRm показа следния фейл

Нямам и капка съмнение в сигурността на двата файла, правени са от мой много добър приятел програмист. Но е по-лесно човек да получи аудиенция при английската кралица, отколкото да открие него за работа през летния сезон

Ще пиша на автора на инструмента относно грешката на KpRm (kernel-panik).

Относно двата файла...може и да са безопасни, но поне първия не ми харесва като контролна сума също:

https://virusscan.jotti.org/en-US/filescanjob/lh6bgkmb74

MD5: 22616070ACE3C7377135EBC3B97964C5

https://wazuh.com/blog/detecting-xll-files-used-for-dropping-fin7-jssloader-with-wazuh/

Цитат

Image: C:\Users\chris\AppData\Local\Temp\DNAxxx.tmp
CommandLine: C:\Users\chris\AppData\Local\Temp\DNAxxx.tmp
CurrentDirectory: C:\Users\chris\Documents\
User: DESKTOP-PQKPK46\chris
LogonGuid: {ef5984a4-0f92-624c-8023-030000000000}
LogonId: 0x32380
TerminalSessionId: 1
IntegrityLevel: Medium
Hashes: SHA1=CE2AA4C6A7A2235C3C9F7233933DD7CD9DD44D09,MD5=22616070ACE3C7377135EBC3B97964C5,SHA256=45FA7A26A0DBA954080147CAAB78453E7935DC4916418150A37F09B2BA263B41,IMPHASH=00000000000000000000000000000000
ParentProcessGuid: {ef5984a4-2de5-624c-1402-000000000700}
ParentProcessId: 6820
ParentImage: C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE

Но вече вие си преценявате какво ще ползвате.

Ще му пиша да погледне какво сме коментирали тук, но до колкото го познавам е проверил всичко поне 6 пъти преди да ми го качи на машината. Минимум защото иначе ще му мрънкам от тук до края на света и обратно ако нещо се прецака заради негов софтуер... А "ползвам" е силно казано, точно ролетката май само веднъж ми е била нужна. 

току-що, Lora Dacheva написа:

Ще му пиша да погледне какво сме коментирали тук, но до колкото го познавам е проверил всичко поне 6 пъти преди да ми го качи на машината. Минимум защото иначе ще му мрънкам от тук до края на света и обратно ако нещо се прецака заради негов софтуер... А "ползвам" е силно казано, точно ролетката май само веднъж ми е била нужна. 

Аз нищо не твърдя (защото нямам досег до въпросния файл, а и да имам в момента работя по един проект и нямам време за дебъгинг/ревърс на въпросния инструмент). Просто споделям това, което съм забелязал при research. Вярвам, че всичко е наред, но просто нямаше как да не го спомена (наречете го "педантичност").

Поздрави!