Подозрение на заражение системы (майнер?) - Форум технической поддержки ESET NOD32

Сообщений: 3

Баллов: 1

Регистрация: 29.12.2017

Размещено 29.12.2017 11:02:02

Добрый день!
Подозрение на заражение системы Windows-7 х64 (установлена на ноутбуке).
Из защиты установлены: ESS версии 4.2 и MBAM (при сканировании системы вирусов не находят).
Симптомы: медленная работа (особенно загрузка) ноутбука, периодические самопроизвольные перезагрузки системы (1-2 раза в неделю без видимых причин), периодические самопроизвольные "вылеты" из Скайпа (примерно с той же частотой), процесс svhost часто грузит процессор на 100%.
Подозрение на майнер.
Образ системы прилагаю.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 29.12.2017 11:57:08

Татьяна,
пробуйте выполнить скрипт в uVS по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply deltmp delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref G:\WORD-CONVERTER-5.6-RUS\WORDCONVERTER_THINSTALL.EXE delref %SystemDrive%\USERS\POLARIS\DESKTOP\MTK USB DRIVER_V1.0948.0\INSTALLDRIVER.EXE delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {B5A7F190-DDA6-4420-B3BA-52453494E6CD}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {9F9C4924-C3F3-4459-A396-9E9E0D8B83D1}\[CLSID] delref {BDEADEF2-C265-11D0-BCED-00A0C90AB50F}\[CLSID] delref {BDEADEF4-C265-11D0-BCED-00A0C90AB50F}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {5858A72C-C2B4-4DD7-B2BF-B76DB1BD9F6C}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID] delref {0006F045-0000-0000-C000-000000000046}\[CLSID] delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID] delref {99FD978C-D287-4F50-827F-B2C658EDA8E7}\[CLSID] delref {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\[CLSID] delref {920E6DB1-9907-4370-B3A0-BAFC03D81399}\[CLSID] delref {16F3DD56-1AF5-4347-846D-7C10C4192619}\[CLSID] delref {2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\[CLSID] delref %SystemDrive%\PROGRAM FILES\LENOVO\SIMPLETAP DESKBAND\SHOWBAND.EXE delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\IGRSSVCS.EXE delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\DRIVERS\VM331AVS.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref G:\LAUNCHU3.EXE delref {807E5FE5-FD8A-49BF-9A54-A7985725FFD6}\[CLSID] delref {2F56DCAA-153B-4479-B4E2-547405B34FB9}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref G:\WORD-CONVERTER-5.6-RUS\WORDCONVERTER_THINSTALL.EXE
delref %SystemDrive%\USERS\POLARIS\DESKTOP\MTK USB DRIVER_V1.0948.0\INSTALLDRIVER.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {B5A7F190-DDA6-4420-B3BA-52453494E6CD}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9F9C4924-C3F3-4459-A396-9E9E0D8B83D1}\[CLSID]
delref {BDEADEF2-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF4-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {5858A72C-C2B4-4DD7-B2BF-B76DB1BD9F6C}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {0006F045-0000-0000-C000-000000000046}\[CLSID]
delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID]
delref {99FD978C-D287-4F50-827F-B2C658EDA8E7}\[CLSID]
delref {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC}\[CLSID]
delref {920E6DB1-9907-4370-B3A0-BAFC03D81399}\[CLSID]
delref {16F3DD56-1AF5-4347-846D-7C10C4192619}\[CLSID]
delref {2916C86E-86A6-43FE-8112-43ABE6BF8DCC}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\LENOVO\SIMPLETAP DESKBAND\SHOWBAND.EXE
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\IGRSSVCS.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\VM331AVS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref G:\LAUNCHU3.EXE
delref {807E5FE5-FD8A-49BF-9A54-A7985725FFD6}\[CLSID]
delref {2F56DCAA-153B-4479-B4E2-547405B34FB9}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
рекомендуем установить актуальную версию продукта ESET.
Ресурсы вашего компьютера позволяют установить новые продукты ESET.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 29.12.2017

Размещено 29.12.2017 14:30:39

Скрипт выполнен, перезагрузка произошла.
По субъективным впечатлениям - ноутбук запустился после перезагрузки пошустрее, чем прежде.
Новых проблем не вижу.
Что касается старых, то загрузка процессора на настоящее время 2-10% (положительная динамика налицо), по остальным (самопроизвольные вылеты системы и Cкайпа) с учетом периодичности (непостоянного характера) их появления прошу при наличии возможности тему пока не закрывать - отпишусь по результату через несколько дней.
Благодарю за оперативный ответ и рекомендации (необходимость установки свежей версии ESS мне ясна).

Сообщений: 3

Баллов: 1

Регистрация: 29.12.2017

Размещено 04.01.2018 13:33:39

Пока все хорошо.
Еще раз благодарю за оперативную и квалифицированную помощь.
Тему можно закрывать.

[ Закрыто ] Подозрение на заражение системы (майнер?) , Подозрение на майнер