0 / 0 / 0
Регистрация: 09.07.2020
Сообщений: 18
09.07.2020, 17:48. Показов 24839. Ответов 26
Всем привет, подхватил вирус-майнер и удаленный доступ (RMS, rutserv.exe) 20.06.2020(17:03) ОС Windows 7 x64. При открытии ДЗ все становиться тихо, со временем сам диспетчер задач закрывается . Даже сам ProcessHacker закрывался через время и в левом нижнем углу ( там где датчик нагрузки на процессор) появляются маленькие окна, когда их закрываешь через ~3 минуты появляются снова. Было обнаружено во вкладке Network адреса codeload.github и набор букв напротив процессов блютуз, так же были задействованы процессы svchost.exe от моего имени (возможно тоже с этим связано). Удалил файлы (rutserv.exe rfuscluient) больше они не появлялись. Так же нашел пользователя в реестре HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccoun ts\UserList\John так же удалил. Файл hosts тоже почистил от каких-то айпи. После таких операций — ДЗ и ProcessHacher не закрывались, но в процесхакере все равно появляются маленькие окна, которые перекрывают нагрузку на ЦП. Хотел установить антивирус, но сначала не вышло, вирус блокировал установку, указывая на ошибку типо «неправильно указан путь». Даже пробовал запускать malwarebytes chameleon, который с тихой установкой, после перезагрузки вылетала ошибка. После этого лазил по папкам и наткнулся на скрытые папки в Programmdata с названиями популярных антивирусов (kaspersky, malwarebytes, avira, 360, adguard, grizzly больше не вспомню), которые были созданы в то же время, когда появился вирус, после их удаления — мог запустить загрузчик касперского и malwarebytes. Но толку от их установок — не было, потому что они ни чего не нашли. Старался по максимум находить папки с такой же датой 20.06.2020(17:03), находил батники и текстовые документы со своими почтами и паролями, скорее всего они уже слитые. некоторые блокировали доступ на просмотр,но я снимал запрет через свойства папок и удалял. Эти папки были пустыми; что же тогда от меня скрывать? я их просто удалил. Прошелся так же программой RogueKiller и он ругался на папку Mysql расположение было c:\windows\fonts\Mysql удалить он не смог и я полез искать ее; зайдя внутрь(с показом скрытых файлов и папок), я ничего не обнаружил только шрифты. Зашел в свойства и там было около 700 файлов и 1 папка. Чтобы удостовериться, что там действительно есть папка я открыл программу Everything и прописал название «Mysql». И да реально там была эта папка. Я попробовал ее удалить, но выскакивала ошибка «отсутствие доступа». Зашел в Безопасный режим и прописал rd /s /q «c:\windows\fonts\Mysql» и даже там мне был отказ в доступе. Потом прошелся Dr.web cureit (в безопасном режиме с использованием ком строки), он ничего не нашел. Я думаю, что в папке Mysql лежат файлы такие как puls.exe mance.exe eter.exe svchost.exe, так как читал на форуме похожую ситуацию.
Чувствуется падение производительности. Переустанавливать систему еще не пробовал, да и начитавшись, говорят, что вирус самовосстанавливается даже после форматирования.
0
Автор
DKOFFICIAL
Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
Topic: Error[5] MySQL (Read 4239 times)
0 Members and 1 Guest are viewing this topic.
April 06, 2023, 12:04:30 AM
Error 5 when removing a virus.
Attaching the report.
How to decide?
The program finds a virus, but cannot remove it. Sometimes you can change how the command console opens and closes (which really annoys me)
« Last Edit: April 06, 2023, 12:11:43 AM by Kagezod »
Logged
Reply #1April 07, 2023, 12:16:48 AM
Hi Kagezod,
Welcome to Adlice.com Forum.
Please download SystemLook (x64) and save it to your desktop.
- Double-click SystemLook_X64.exe to run it.
- Copy the content of the following codebox into the main textfield:
:dir /s /md5
%SystemRoot%\Fonts\Mysql
- Click the Look button to start the scan.
- When finished, a notepad window will open with the results of the scan. Please attach this log in your next reply.
Note: The log can also be found on your Desktop entitled SystemLook.txt
Regards.
Logged
Reply #2April 07, 2023, 02:17:27 PM
Here. I don’t quite understand why it didn’t work. By the way, the log report shows that it is in %SystemRoot%\Fonts\Mysql .
But I find it when I scan C:\Windows\Fonts . (Well, or when I scan the entire system completely)
« Last Edit: April 07, 2023, 02:45:01 PM by Kagezod »
Logged
Reply #3April 07, 2023, 02:49:55 PM
when I scanned with slightly different parameters, this came out
Logged
Reply #4April 07, 2023, 04:37:54 PM
Hi Kagezod,
Sorry, I messed up the parameters.
Let’s try with these.
- Double-click SystemLook_X64.exe to run it.
- Copy the content of the following codebox into the main textfield:
:dir
%SystemRoot%\Fonts\Mysql /s /md5
- Click the Look button to start the scan.
- When finished, a notepad window will open with the results of the scan. Please attach this log in your next reply.
Note: The log can also be found on your Desktop entitled SystemLook.txt
Regards.
Logged
Reply #5April 07, 2023, 05:06:28 PM
There is nothing. It seems that such a file simply does not exist, but it is present on all RogueKiller checks no matter how many times I run it
« Last Edit: April 07, 2023, 05:09:06 PM by Kagezod »
Logged
Reply #6April 07, 2023, 06:14:32 PM
Hi Kagezod,
This is quite strange
Please download Handle (x64) and save it on your desktop.
Launch the command prompt windows (cmd) with admin rights and copy/paste the following command :
"%USERPROFILE%\Desktop\handle64.exe" -a -u -nobanner Fonts\Mysql > "%USERPROFILE%\Desktop\Handle.log"A new file named Handle.log should has been created on your desktop.
Please attach it with your next reply.
Regards.
« Last Edit: April 07, 2023, 06:16:42 PM by Curson »
Logged
Reply #7April 07, 2023, 07:51:19 PM
Logged
Reply #8April 07, 2023, 07:58:26 PM
I will also attach a screenshot from what the scanner shows, so that it would not seem that I came up with it myself
Logged
Reply #9April 09, 2023, 08:20:03 PM
Hi Kagezod,
Could you try renaming the «Mysql» folder ?
Does an error occurs ?
Regards.
Logged
Reply #10April 10, 2023, 07:51:32 PM
This folder doesn’t even show up in the fonts folder. I have show hidden folders enabled.Even scanning the entire C drive for a MySQL file does not work.
I found the mysql.vim file on drive D in the Git folder (I installed it from the official site a few months ago)
« Last Edit: April 10, 2023, 08:14:47 PM by Kagezod »
Logged
Reply #11April 10, 2023, 08:32:34 PM
Hi Kagezod,
Let’s try another way.
Launch the command prompt windows (cmd) with admin rights and copy/paste the following command :
rmdir %SystemRoot%\Fonts\Mysql > "%USERPROFILE%\Desktop\Remove.log"A new file named Remove.log should has been created on your desktop.
Please attach it with your next reply.
Regards.
Logged
Reply #12April 10, 2023, 08:46:06 PM
I was denied access
+ rmdir %SystemRoot%\Fonts\Mysql > «%USERPROFILE%\Desktop\Remove.log»
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OpenError: (:) [Out-File], DirectoryNotFoundException
+ FullyQualifiedErrorId : FileOpenFailure,Microsoft.PowerShell.Commands.OutFileCommand
« Last Edit: April 10, 2023, 08:49:56 PM by Kagezod »
Logged
Reply #13April 10, 2023, 09:29:57 PM
Hi Kagezod,
Could you please try with CMD and not Powershell ?
Regards.
Logged
Reply #14April 10, 2023, 09:52:06 PM
C:\Users\AdminStar>rmdir %SystemRoot%\Fonts\Mysql > «%USERPROFILE%\Desktop\Remove.log»
Access denied.
Logged
Добавлен в вирусную базу Dr.Web:
2022-07-27
Описание добавлено:
2022-07-28
Техническая информация
Вредоносные функции
Запускает на исполнение
- ‘%WINDIR%\syswow64\net.exe’ stop MicrosoftMysql
- ‘%WINDIR%\syswow64\net.exe’ stop lanmanserver /y
- ‘%WINDIR%\syswow64\net.exe’ stop mssecsvc2.0
- ‘%WINDIR%\syswow64\net.exe’ stop mssecsvc2.1
- ‘%WINDIR%\syswow64\net.exe’ stop COMSysCts
- ‘%WINDIR%\syswow64\net.exe’ stop WmiAppSrv
- ‘%WINDIR%\syswow64\net.exe’ stop Bcdefg
- ‘%WINDIR%\syswow64\net.exe’ stop WSSDPSRVS
- ‘%WINDIR%\syswow64\net.exe’ stop «MicrosoftMysql»
- ‘%WINDIR%\syswow64\netsh.exe’ firewall set opmode mode=disable
- ‘%WINDIR%\syswow64\net.exe’ stop «MicrosoftMssql»
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\inf\doublepulsar.dll
- %ProgramFiles%\windowsd\cnli-0.dll
- %ProgramFiles%\windowsd\adfw-2.dll
- %ProgramFiles%\windowsd\adfw.dll
- %ProgramFiles%\windowsd\shellcode.bin
- %ProgramFiles%\windowsd\eternalromance-1.3.0.xml
- %ProgramFiles%\windowsd\eternalromance-1.3.0.fb
- %ProgramFiles%\windowsd\eternalromance-1.3.0.exe
- %ProgramFiles%\windowsd\eternalromance-1.4.0.xml
- %ProgramFiles%\windowsd\eternalromance-1.4.0.fb
- %ProgramFiles%\windowsd\eternalromance-1.4.0.exe
- %ProgramFiles%\windowsd\eternalchampion-2.0.0.xml
- %ProgramFiles%\windowsd\eternalchampion-2.0.0.fb
- %ProgramFiles%\windowsd\eternalchampion-2.0.0.exe
- %ProgramFiles%\windowsd\x86.dll
- %ProgramFiles%\windowsd\x64.dll
- %ProgramFiles%\windowsd\fileftp.exe
- %TEMP%\xsfxdel~.exe
- %WINDIR%\fonts\mysql\zlib1.dll
- %WINDIR%\fonts\mysql\xdvl-0.dll
- %WINDIR%\fonts\mysql\wget.exe
- %WINDIR%\fonts\mysql\ucl.dll
- %WINDIR%\fonts\mysql\tucl-1.dll
- %WINDIR%\fonts\mysql\tufo-2.dll
- %ProgramFiles%\windowsd\cnli-1.dll
- %ProgramFiles%\windowsd\coli-0.dll
- %ProgramFiles%\windowsd\exma.dll
- %ProgramFiles%\windowsd\eternalblue-2.2.0.xml
- %ProgramFiles%\windowsd\eternalblue-2.2.0.fb
- %ProgramFiles%\windowsd\eternalblue-2.2.0.exe
- %ProgramFiles%\windowsd\etebcore-2.x86.dll
- %ProgramFiles%\windowsd\etebcore-2.x64.dll
- %ProgramFiles%\windowsd\etchcore-1.x86.dll
- %ProgramFiles%\windowsd\etchcore-1.x64.dll
- %ProgramFiles%\windowsd\etchcore-0.x86.dll
- %ProgramFiles%\windowsd\etchcore-0.x64.dll
- %ProgramFiles%\windowsd\esteemaudittouch-2.1.0.xml
- %WINDIR%\fonts\mysql\mance.xml
- %ProgramFiles%\windowsd\esteemaudittouch-2.1.0.fb
- %ProgramFiles%\windowsd\esteemaudittouch-2.1.0.exe
- %ProgramFiles%\windowsd\esteemaudit-2.1.0.xml
- %ProgramFiles%\windowsd\esteemaudit-2.1.0.fb
- %ProgramFiles%\windowsd\esteemaudit-2.1.0.exe
- %ProgramFiles%\windowsd\doublepulsar-1.3.1.xml
- %ProgramFiles%\windowsd\doublepulsar-1.3.1.exe
- %ProgramFiles%\windowsd\dmgd-4.dll
- %ProgramFiles%\windowsd\dmgd-1.dll
- %ProgramFiles%\windowsd\crli-0.dll
- %WINDIR%\fonts\mysql\trfo-2.dll
- %WINDIR%\fonts\mysql\trch-1.dll
- %WINDIR%\fonts\mysql\tich-1.dll
- %WINDIR%\fonts\mysql\same.bat
- %WINDIR%\fonts\mysql\wai.bat
- %WINDIR%\fonts\mysql\nei.bat
- %WINDIR%\inf\tem.vbs
- %WINDIR%\inf\demo1.bat
- %WINDIR%\installer\free.bat
- %WINDIR%\installer\fileftps.exe
- %WINDIR%\fonts\mysql\ctfmon.exe
- %WINDIR%\fonts\mysql\eternalblue2.dll
- %WINDIR%\fonts\mysql\eternalblue.dll
- %WINDIR%\fonts\mysql\doublepulsar2.dll
- %WINDIR%\fonts\mysql\doublepulsar.dll
- nul
- <Текущая директория>\tem.vbs
- %WINDIR%\inf\king.bat
- %WINDIR%\inf\ftps.exe
- %WINDIR%\inf\ctfmon.exe
- %WINDIR%\inf\eternalblue2.dll
- %WINDIR%\inf\eternalblue.dll
- %WINDIR%\inf\doublepulsar2.dll
- %WINDIR%\fonts\mysql\cmd.bat
- %WINDIR%\fonts\mysql\file.txt
- %WINDIR%\fonts\mysql\bat.bat
- %WINDIR%\fonts\mysql\cnli-1.dll
- %WINDIR%\fonts\mysql\tibe-2.dll
- %WINDIR%\fonts\mysql\coli-0.dll
- %WINDIR%\fonts\mysql\taskhost.exe
- %WINDIR%\fonts\mysql\svchost.exe
- %WINDIR%\fonts\mysql\ssleay32.dll
- %WINDIR%\fonts\mysql\puls.xml
- %WINDIR%\fonts\mysql\puls.exe
- %WINDIR%\fonts\mysql\posh-0.dll
- %WINDIR%\fonts\mysql\poad.bat
- %WINDIR%\fonts\mysql\poab.bat
- %WINDIR%\fonts\mysql\p.txt
- %ProgramFiles%\windowsd\etch-0.dll
- %ProgramFiles%\windowsd\exma-1.dll
- %WINDIR%\fonts\mysql\mance.exe
- %WINDIR%\fonts\mysql\load.bat
- %WINDIR%\fonts\mysql\loab.bat
- %WINDIR%\fonts\mysql\libxml2.dll
- %WINDIR%\fonts\mysql\libeay32.dll
- %WINDIR%\fonts\mysql\exma-1.dll
- %WINDIR%\fonts\mysql\eter.xml
- %WINDIR%\fonts\mysql\eter.exe
- %WINDIR%\fonts\mysql\dmgd-4.dll
- %WINDIR%\fonts\mysql\crli-0.dll
- %WINDIR%\fonts\mysql\nanshou.dll
- %ProgramFiles%\windowsd\iconv.dll
Присваивает атрибут ‘скрытый’ для следующих файлов
- <Текущая директория>\tem.vbs
- %WINDIR%\fonts\mysql\doublepulsar.dll
- %WINDIR%\fonts\mysql\doublepulsar2.dll
- %WINDIR%\fonts\mysql\eternalblue.dll
- %WINDIR%\fonts\mysql\eternalblue2.dll
- %WINDIR%\inf\tem.vbs
Удаляет следующие файлы
- <Текущая директория>\tem.vbs
- %WINDIR%\fonts\mysql\doublepulsar.dll
- %WINDIR%\fonts\mysql\doublepulsar2.dll
- %WINDIR%\fonts\mysql\eternalblue.dll
- %WINDIR%\fonts\mysql\eternalblue2.dll
- %WINDIR%\inf\ftps.exe
Самоудаляется.
Другое
Создает и запускает на исполнение
- ‘%WINDIR%\fonts\mysql\svchost.exe’ install MicrosoftMysql %WINDIR%\Fonts\Mysql\cmd.bat
- ‘%WINDIR%\syswow64\wscript.exe’ «%WINDIR%\INF\tem.vbs»
- ‘%WINDIR%\fonts\mysql\svchost.exe’ install MicrosoftMysql «%WINDIR%\Fonts\Mysql\cmd.bat»
- ‘%WINDIR%\fonts\mysql\ctfmon.exe’
- ‘%WINDIR%\inf\ftps.exe’
- ‘%WINDIR%\installer\fileftps.exe’
- ‘%ProgramFiles%\windowsd\fileftp.exe’
- ‘%WINDIR%\fonts\mysql\svchost.exe’ stop «MicrosoftFonts»
- ‘%WINDIR%\fonts\mysql\svchost.exe’ stop «MicrosoftMysql»
- ‘%WINDIR%\syswow64\wscript.exe’ «<Текущая директория>\tem.vbs»
- ‘%WINDIR%\syswow64\sc.exe’ config lanmanserver start= DISABLED 2>nul’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop mssecsvc2.1′ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop mssecsvc2.0′ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop WmiAppSrv’ (со скрытым окном)
- ‘%WINDIR%\syswow64\netsh.exe’ firewall set opmode mode=disable’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop WSSDPSRVS’ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\Installer\Fileftps.exe’ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c «»%WINDIR%\Fonts\Mysql\same.bat» «‘ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\inf\demo1.bat’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop Bcdefg’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop COMSysCts’ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c attrib -s -h -r -a %WINDIR%\Fonts’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop lanmanserver /y’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete WmiAppSrv’ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c md %WINDIR%\Fonts\Mysql’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete SSDPSRVS’ (со скрытым окном)
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\INF\king.bat’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete MicrosoftMysql’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete lanmanserver’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete mssecsvc2.0′ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete mssecsvc2.1′ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete COMSysCts’ (со скрытым окном)
- ‘%WINDIR%\syswow64\sc.exe’ delete Bcdefg’ (со скрытым окном)
- ‘%WINDIR%\syswow64\net.exe’ stop MicrosoftMysql’ (со скрытым окном)
Запускает на исполнение
- ‘%WINDIR%\syswow64\sc.exe’ delete MicrosoftMysql
- ‘%WINDIR%\syswow64\net1.exe’ stop WSSDPSRVS
- ‘%WINDIR%\syswow64\net1.exe’ stop mssecsvc2.1
- ‘%WINDIR%\syswow64\net1.exe’ stop mssecsvc2.0
- ‘%WINDIR%\syswow64\net1.exe’ stop Bcdefg
- ‘%WINDIR%\syswow64\cmd.exe’ /c «»%WINDIR%\Fonts\Mysql\same.bat» «
- ‘%WINDIR%\syswow64\net1.exe’ stop WmiAppSrv
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\addins» /g everyone:f
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\Fonts\addins /a
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\Installer\Fileftps.exe
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\inf\demo1.bat
- ‘%WINDIR%\syswow64\sc.exe’ config lanmanserver start= DISABLED 2>nul
- ‘%WINDIR%\syswow64\sc.exe’ delete SSDPSRVS
- ‘%WINDIR%\syswow64\sc.exe’ delete Bcdefg
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r %WINDIR%\Fonts\addins
- ‘%WINDIR%\syswow64\reg.exe’ delete «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cscript.exe» /f
- ‘%WINDIR%\syswow64\net1.exe’ stop lanmanserver /y
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\Fonts\cd /a
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\addins\Eternalblue.dll
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\addins\Doublepulsar.dll
- ‘%WINDIR%\syswow64\sc.exe’ delete «MicrosoftMssql»
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\addins\Eternalblue.dll» /g everyone:f
- ‘%WINDIR%\syswow64\sc.exe’ delete «MicrosoftMysql»
- ‘%WINDIR%\syswow64\sc.exe’ delete WmiAppSrv
- ‘%WINDIR%\syswow64\net1.exe’ stop COMSysCts
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r %WINDIR%\Fonts\addins\Doublepulsar.dll
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\Fonts\addins\Eternalblue.dll /a
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\Fonts\addins\Doublepulsar.dll /a
- ‘%WINDIR%\syswow64\net1.exe’ user mm123$ /del
- ‘%WINDIR%\syswow64\net1.exe’ stop «MicrosoftMssql»
- ‘%WINDIR%\syswow64\net.exe’ user mm123$ /del
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r %WINDIR%\Fonts\addins\Eternalblue.dll
- ‘%WINDIR%\syswow64\net1.exe’ stop «MicrosoftMysql»
- ‘%WINDIR%\syswow64\sc.exe’ delete COMSysCts
- ‘%WINDIR%\syswow64\sc.exe’ delete mssecsvc2.1
- ‘%WINDIR%\syswow64\sc.exe’ delete mssecsvc2.0
- ‘%WINDIR%\syswow64\wevtutil.exe’ cl «security»
- ‘%WINDIR%\syswow64\cmd.exe’ /c md %WINDIR%\Fonts\Mysql
- ‘%WINDIR%\syswow64\cmd.exe’ /c attrib -s -h -r -a %WINDIR%\Fonts
- ‘%WINDIR%\syswow64\cmd.exe’ /c %WINDIR%\INF\king.bat
- ‘%WINDIR%\syswow64\net1.exe’ stop MicrosoftMysql
- ‘%WINDIR%\syswow64\wevtutil.exe’ cl «windows powershell»
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r %WINDIR%\Fonts\cd
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r -a %WINDIR%\Fonts
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\Mysql\*.*» /g everyone:f
- ‘%WINDIR%\syswow64\schtasks.exe’ /delete /tn At1 /f
- ‘%WINDIR%\syswow64\schtasks.exe’ /delete /tn At2 /f
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\Fonts\Mysql /a
- ‘%WINDIR%\syswow64\attrib.exe’ -s -h -r %WINDIR%\Fonts\Mysql
- ‘%WINDIR%\syswow64\cmd.exe’ /S /D /c» echo y»
- ‘%WINDIR%\syswow64\wevtutil.exe’ cl «system»
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\addins\Doublepulsar.dll» /g everyone:f
- ‘%WINDIR%\syswow64\reg.exe’ delete «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU» /f
- ‘%WINDIR%\syswow64\takeown.exe’ /f <SYSTEM32>\cscript.exe /a
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\SysWOW64\cscript.exe /a
- ‘%WINDIR%\syswow64\sc.exe’ delete lanmanserver
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\Mysql\Eternalblue2.dll
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\Mysql\Eternalblue.dll
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\Mysql\Doublepulsar2.dll
- ‘%WINDIR%\syswow64\attrib.exe’ +s +h +r %WINDIR%\Fonts\Mysql\Doublepulsar.dll
- ‘%WINDIR%\syswow64\takeown.exe’ /f %WINDIR%\SysWOW64\wscript.exe /a
- ‘%WINDIR%\syswow64\ping.exe’ 127.1 -n 5
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\Mysql» /g everyone:f
- ‘%WINDIR%\syswow64\cacls.exe’ <SYSTEM32>\wscript.exe /g everyone:f
- ‘%WINDIR%\syswow64\cacls.exe’ <SYSTEM32>\cscript.exe /g everyone:f
- ‘%WINDIR%\syswow64\cacls.exe’ %WINDIR%\SysWOW64\wscript.exe /g everyone:f
- ‘%WINDIR%\syswow64\cacls.exe’ %WINDIR%\SysWOW64\cscript.exe /g everyone:f
- ‘%WINDIR%\syswow64\takeown.exe’ /f <SYSTEM32>\wscript.exe /a
- ‘%WINDIR%\syswow64\reg.exe’ delete «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe» /f
- ‘%WINDIR%\syswow64\cacls.exe’ «%WINDIR%\Fonts\cd» /g everyone:f
#1
Motorola
- Members
- 1 Сообщений:
Newbie
Отправлено 31 Март 2022 — 16:45
Ситуация такая:RogueKiller обнаружил 3 вируса(майнеры) в папке Fonts и FileMaps. Однако удалить их не смог, т.к. доступ к этим папкам закрыт. Пытался удалить их вручную, но тоже столкнулся с запретом «нет доступа к папке запросите разрешение от trustedinstaller». Получить это «разрешение» у папки Fonts невозможно, её вообще нельзя никак удалять, переименовывать и т.д.
Так вот, вопрос:КАК УДАЛИТЬ ЭТИ НЕУДАЛЯЕМЫЕ МАЙНЕРЫ?
Антивирусы бесполезны, ни докторвеб, ни 360, ни касперский(который вообще не открывается). Из всех только вышеназванный только RogueKiller находит эти майнеры, но удалить не может.
Почему я решил, что это вирусы, а не ложное срабатывание? Компьютер после 2-3 часов работы начинает очень сильно глючить(даже на рабочем столе), а при попытке перезагрузить его, пишет:»Подготовка Windows. Подождите…» и крутит так 20 минут.
Посоветовали написать сюда.
- Наверх
#2
Dr.Robot
Dr.Robot
- Helpers
- 3 351 Сообщений:
Poster
Отправлено 31 Март 2022 — 16:45
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%\ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%\ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
- Наверх
#3
Ivan Susloparov
Ivan Susloparov
- Members
- 163 Сообщений:
Member
Отправлено 31 Март 2022 — 20:26
Соберите отчет утилитой: https://drw.sh/erqgzp
- Наверх