Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

Безопасность Windows  не видит Вирус-майнер, проверьтесь

Здравствуйте, совершенно случайно обнаружил 98% загрузки процессора.

В диспетчере задач висел процесс без имени, обращался к системному файлу svchost.exe и грузил процессор.


Тем временем защитник Windows:

Безопасность Windows  не видит Вирус-майнер, проверьтесь Компьютерный вирус, Майнеры, Антивирус, Мат

Иксперты из гугол говорят - попробуй малваребайтес.

И вуаля, 

Trojan.BitCoinMiner, C:\USERS..........

Backdoor.Bladabindi

Маскируется под MICROSOFTSECURITYHEALTHSYSTRAYICON.EXE

SECURITYCRYPTOGRAPHY.EXE


проверил, перезагрузился, решил прогнать второй раз, и снова седая ночь...

найдено еще немного паразитов:


Раздел реестра: 2

PUP.Optional.InstallCore, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\CSASTATS\ic, Помещено в карантин, 496, 586068, 1.0.52832, , ame, , ,

Trojan.Glupteba.E, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\MICROSOFT\TESTAPP, Помещено в карантин, 495, 781336, 1.0.52832, , ame, , ,

Значение реестра: 1

Trojan.Glupteba.E, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\MICROSOFT\TESTAPP|DEFENDER, Помещено в карантин, 495, 781336, 1.0.52832, , ame, , ,


так же в карантин улетели сервисы яндексбарузера, коих было немало, активаторы, про которые я уже давно забыл и прочее.




//тут много строчек отчета о найденном майнере, кому интересно скину  в комменты по просьбе.

Компьютерный вирус Майнеры Антивирус Мат
131
Все комментарии Автора
5
Аватар пользователя mikdmstmikdmst
Автор поста оценил этот комментарий
Большинство программ устанавливаются из доверенных источников :)
раскрыть ветку (1)
3
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

*репозитариев же

16
DELETED
Автор поста оценил этот комментарий
Примерно так вижу предысторию:
1. Качаем левую Винду хрен прими чей сборки и откуда
2. Активируем активатором от васяхакер666
3. Отключаем защитник, брандмауэр и обновления
4.Ждем
5.Вирус, памагити! Мелкасофт говно!
раскрыть ветку (1)
3
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

так и было. потом пиратская винда 7ка почему то легально обновилась до 10ки и теперь она легальная.

1
Аватар пользователя jaskiesjaskies
Автор поста оценил этот комментарий

Установите антивирус Кашпировский Фрии и не занимайтесь ерундой 

раскрыть ветку (1)
1
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

наверное так и сдалаю. после бесплатного периода на малваребайтсе

Аватар пользователя santik8santik8
Автор поста оценил этот комментарий
А вот ставили бы ограничение до 30-40% загрузки проца и никто вообще бы никогда не нашёл их майнеры. а большинство палятся на высокой загрузке системы.
раскрыть ветку (1)
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

Кстати да..

NSergeyV
Автор поста оценил этот комментарий

Мда. Лазим по сомнительному практически без защиты и удивляемся. И майнеры в основном GPU нагружают. Процессор слишком банально и можно увидеть.


С таким отношением к безопасности.

Все же поставить вам советую антивирус или Касперского или Доктор веб.

раскрыть ветку (1)
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

а чекаюсь переодически временными версиями. потом обратно на виндовс дефендер. уже года 2 как ничего не ловил.

3
Phantomherr
Автор поста оценил этот комментарий
Я один не качаю всякое подозрительное и не очень, говно, и не захожу на говно сайты?
Как можно поймать Майнер? Качать ломанное ПО, торрент игры(с непроверенных источников) и лазить на всяких говносайтах? Вариант перестать заниматься хуйнёй и спихивать свое раздолбайство на защитник windows, не рассматривается?
раскрыть ветку (1)
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

самое забавное, что даже сис на работе топит за "если никуда не лазить то и виндовс защитник норм" пока курейтом от доктора вэба не доказал ему на его машинах ахтунг.

12
Аватар пользователя mikdmstmikdmst
Автор поста оценил этот комментарий

в былые времена я бы посоветовал вам садиться за линукс, но тут за такие призывы минусят, так что просто пожалею вас без советов.

раскрыть ветку (1)
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

сидел на убунте. но скучно.

показать ответы
16
Аватар пользователя DREDDYDREDDY
Автор поста оценил этот комментарий

Ты лучше скажи где его поймал - устанавливал новую программу или скачал фильм с торрента?

раскрыть ветку (1)
2
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

давно ничего не качал. самому интересно

показать ответы
9
Аватар пользователя triggerbottriggerbot
Автор поста оценил этот комментарий

-Данные проверки-

Процесс: 2

Trojan.BitCoinMiner, C:\USERS\\APPDATA\ROAMING\SYSTEM32\SVCHOST.EXE, , 577, 957355, , , , , C2CD39C17330F4C5A0E02529DB16F768, 1643913D8DCF2292CF9A47EED5AD16E43143C63BF300697FECC9E738FAF2BAC1

Backdoor.Bladabindi, C:\USERS\\APPDATA\LOCAL\DIAGNOSTICS\1612347604\2021051118.000\MICROSOFTSECURITYHEALTHSYSTRAYICON.EXE, , 3574, 949427, , , , , 3A36E461FBE0A72303BF59693E515C71, D07A6B95725F3525CD08DC388D7768C5615131091950EED9246FACF6864FA6BE

Модуль: 2

Trojan.BitCoinMiner, C:\USERS\APPDATA\ROAMING\SYSTEM32\SVCHOST.EXE, , 577, 957355, , , , , C2CD39C17330F4C5A0E02529DB16F768, 1643913D8DCF2292CF9A47EED5AD16E43143C63BF300697FECC9E738FAF2BAC1

Backdoor.Bladabindi, C:\USERS\\APPDATA\LOCAL\DIAGNOSTICS\1612347604\2021051118.000\MICROSOFTSECURITYHEALTHSYSTRAYICON.EXE, 3574, 949427, , , , , 3A36E461FBE0A72303BF59693E515C71, D07A6B95725F3525CD08DC388D7768C5615131091950EED9246FACF6864FA6BE

Раздел реестра: 14

Trojan.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SVCHOST.EXE, , 577, 957355, , , , , ,

Trojan.BitCoinMiner, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\SVCHOST.EXE, , 577, 957355, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\MicrosoftEdgeScript,, 3574, 949427, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{B826CF97-6C8A-4118-9CAC-A4CC3E90CACE}, , 3574, 949427, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{B826CF97-6C8A-4118-9CAC-A4CC3E90CACE}, Проигнорировано пользователем, 3574, 949427, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\MicrosoftOneDriveStandalone, , 3574, 1013984, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{C6F2EAC0-61F0-4526-AC75-9BC186C80F22}, , 3574, 1013984, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{C6F2EAC0-61F0-4526-AC75-9BC186C80F22}, Проигнорировано пользователем, 3574, 1013984, , , , , ,

RiskWare.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OInstall, , 903, 632069, , , , , ,

RiskWare.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{0F5BF39D-A84A-4FAA-BACC-53B9AA9F5D84}, , 903, 632069, , , , , ,

RiskWare.KMS, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{0F5BF39D-A84A-4FAA-BACC-53B9AA9F5D84}, , 903, 632069, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\SecurityHealthService, , 3574, 949429, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A47E8340-039D-4774-A61F-6619B0244FF3}, Проигнорировано пользователем, 3574, 949429, , , , , ,

Backdoor.Bladabindi, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{A47E8340-039D-4774-A61F-6619B0244FF3}, , 3574, 949429, , , , , ,

Значение реестра: 0

(Вредоносные программы не обнаружены)

Данные реестра: 0

(Вредоносные программы не обнаружены)

Поток данных: 0

(Вредоносные программы не обнаружены)

Папка: 0

(Вредоносные программы не обнаружены)

Файл: 10

Trojan.BitCoinMiner, C:\USERS\\APPDATA\ROAMING\SYSTEM32\SVCHOST.EXE,, 577, 957355, 1.0.52832, D7813477B79B593E71EAFFDB, dds, 01698210, C2CD39C17330F4C5A0E02529DB16F768, 1643913D8DCF2292CF9A47EED5AD16E43143C63BF300697FECC9E738FAF2BAC1

Backdoor.Bladabindi, C:\WINDOWS\SYSTEM32\TASKS\MicrosoftEdgeScript, , 3574, 949427, , , , , 628B61A5D5A4C3E5DA7952105E7EAAC0, 76F62838495C8171603C886F7107A6981C896FE42E4361776D30A8B0A9C77A3B

Backdoor.Bladabindi, C:\USERS\\APPDATA\LOCAL\DIAGNOSTICS\1612347604\2021051118.000\MICROSOFTSECURITYHEALTHSYSTRAYICON.EXE, , 3574, 949427, 1.0.52832, C652EA7A76B9E2FAF9753B85, dds, 01698210, 3A36E461FBE0A72303BF59693E515C71, D07A6B95725F3525CD08DC388D7768C5615131091950EED9246FACF6864FA6BE

Backdoor.Bladabindi, C:\WINDOWS\SYSTEM32\TASKS\MicrosoftOneDriveStandalone, , 3574, 1013984, , , , , 0788C506B13A72D9966596BDFF956258, 0B3854A669BA9EA29EC1B0058018F3C5FE1246F5FCC3B927742B654B6C0397AD

Backdoor.Bladabindi, C:\USERS\\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\desktop.ini.lnk, , 3574, 1013984, , , , , A20E160CB5A53C85DD0E89D2340682D1, E8073E746CE23F59CA433CC61A6202401A7CCC4EA0A8AD70DAA4391E03AE56E4

Backdoor.Bladabindi, C:\USERS\\APPDATA\ROAMING\WINDOWS\SECURITYCRYPTOGRAPHY.EXE, , 3574, 1013984, 1.0.52832, 5AED80D73F660BE7FE3A8EA9, dds, 01698210, 9F77BC1071F6E9ADFAB76FB57079FF4B, 6A6B08B3B2F591FAF35C49F639A67DA99F23D4B1DF352721077D4E3336E4BFED

RiskWare.KMS, C:\WINDOWS\SYSTEM32\TASKS\OInstall, , 903, 632069, , , , , C1D0BC742EF252A095DC7921347F95C8, 5BF1276EAB1578A92AACBBAD77F2F34F20A700600947F0FDD0C538F0089B445D

RiskWare.KMS, C:\WINDOWS\OINSTALL.EXE, Проигнорировано пользователем, 903, 632069, 1.0.52832, 0000000000000000000003EB, dds, 01698210, B0C87F06A30DD0EB525E6CB45E9378A6, 3D8021C43FE2FFCBFFBA8C1EB35292C94133FC3B2A9EC32BEB8147962977F93F

Backdoor.Bladabindi, C:\WINDOWS\SYSTEM32\TASKS\SecurityHealthService,  3574, 949429, , , , , A6DAEEBDE7DE83CCD11EE3E31F69DD23, 8EF3293D84455895D3A5F41098B1513CF8A316B4C053BBD7339294C882F433C9

Backdoor.Bladabindi, C:\USERS\\APPDATA\ROAMING\WINDOWS\MICROSOFT.FOUNDATION.DIAGNOSTICS.EXE, , 3574, 949429, 1.0.52832, 48EA3621A7CC9A24FE678C31, dds, 01698210, F0D93E6CF54CA72F3478F4AFC2403163, 26E84BAC6F97B4009CC6737C62B42A5BBEE4DD0B014D3E771A8F89366F6AE0FE

показать ответы