Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Win10/64 - aspnet.exe - Miner, po usunięciu pojawia się z powrotem

Amynue 26 Wrz 2016 22:57 657 11
  • #1 26 Wrz 2016 22:57
    Amynue
    Poziom 8  

    Od tygodnia mam problem z minerem który pojawił się nie wiadomo skąd w folderze
    C:\Windows\Microsoft.NET\Framework\v4.0.30319 pod nazwą aspnet.exe

    Uruchamia się dopiero jakiś czas po uruchomieniu systemu i stale wykorzystuję 50% procesora. Gdy go usunę, po jakimś czasie pojawia się z powrotem.
    Skan Malwarebytes Anti-Malware go nie widzi. Windows Defender też ma to gdzieś.

    Proszę o pomoc w pozbyciu się go na dobre.

    0 11
  • Pomocny post
    #2 26 Wrz 2016 23:14
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {3E29973D-9A08-4A25-B3B2-98AB27AD3EE7} - System32\Tasks\Opera scheduled Autoupdate 1460448643 => C:\Program Files (x86)\Opera\launcher.exe [2016-09-21] (Opera Software)
    Task: {64EA9323-7AB0-4242-B9D8-95530C15C7D8} - \DefenderUpdate -> Brak pliku <==== UWAGA
    Task: {7E4F2234-E1A9-4C17-8A38-E662B90CE4D1} - System32\Tasks\WindowUpdate => c:\windows\lsa.exe
    () C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet.exe
    HKU\S-1-5-21-2676099282-4251199613-2512998043-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => "C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe"
    BootExecute: autocheck autochk * sdnclean64.exe
    Tcpip\..\Interfaces\{10d85417-59d4-496f-a3ff-6162c550657b}: [DhcpNameServer] 7.254.254.254
    S3 cpuz138; \??\C:\Users\Rafal\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
    2016-09-26 22:00 - 2016-09-26 22:01 - 00000000 ____D C:\AdwCleaner
    2016-09-25 09:08 - 2016-09-25 09:08 - 00000000 ____D C:\Windows\System32\Tasks\Safer-Networking
    2016-09-25 08:29 - 2016-09-25 10:02 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2016-09-25 08:29 - 2016-09-25 09:08 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2016-09-25 08:27 - 2016-09-25 08:27 - 46525608 _____ (Safer-Networking Ltd. ) C:\Users\Rafal\Downloads\spybot-2.4.exe
    2016-09-12 17:57 - 2016-09-12 17:57 - 01191072 _____ (ALCPU ) C:\Users\Rafal\Downloads\Core-Temp-setup (4).exe
    2016-09-07 10:33 - 2016-09-07 10:33 - 01190712 _____ (Alcpu ) C:\Users\Rafal\Downloads\Core-Temp-setup (3).exe
    2016-09-07 10:33 - 2016-09-07 10:33 - 01190712 _____ (Alcpu ) C:\Users\Rafal\Downloads\Core-Temp-setup (2).exe
    2016-09-05 11:25 - 2016-09-05 11:25 - 00000000 ____D C:\Program Files (x86)\Phosgene
    2016-09-05 11:25 - 2016-09-05 11:25 - 00000000 ____D C:\Program Files (x86)\Larmkanal
    2016-09-05 11:25 - 2015-09-02 07:28 - 00034136 _____ (Adoriasoft LLC) C:\Windows\system32\Drivers\Phosgene.sys
    2016-09-05 11:25 - 2015-09-02 07:27 - 00033112 _____ (Adoriasoft LLC) C:\Windows\system32\Drivers\Larmkanal.sys
    2016-09-05 11:00 - 2016-09-05 11:16 - 00003268 _____ C:\Windows\System32\Tasks\WindowUpdate
    2016-07-30 21:51 - 2016-07-30 21:51 - 0000016 _____ () C:\ProgramData\mntemp
    R3 Larmkanal; C:\Windows\system32\DRIVERS\Larmkanal.sys [33112 2015-09-02] (Adoriasoft LLC)
    R3 Phosgene; C:\Windows\system32\DRIVERS\Phosgene.sys [34136 2015-09-02] (Adoriasoft LLC)
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #5 28 Wrz 2016 01:09
    Amynue
    Poziom 8  

    Jak już wspomniałem w pierwszym poscie, Malwarebytes Anti-Malware nic nie widzi, nawet pliku aspnet.exe, ale dla pewności przeskanowałem jeszcze raz i nic nie wykrył.
    Cureit wykrył jakiś plik, wywaliło go do kwarantanny. Uruchomiłem komputer ponownie i po kilku godzinach aspnet.exe nie było śladu, już myślałem że problem został wyeliminowany. A jednak po około 11 godzinach aspnet.exe powrócił. Od razu zauważyłem bo akurat grałem w grę i liczba klatek na sekunde nagle się społowiła, a na 120hzHz jest to bardzo zauważalne. Zawzięta bestia.

    0
  • #8 28 Wrz 2016 15:45
    Kolobos
    Spec od komputerów

    Wklej do okna FRST:
    aspnet.exe

    Nacisnij Wyszukaj w rejestrze i zamiesc wynik wyszukiwania w zalaczniku.

    0
  • #10 28 Wrz 2016 19:20
    Kolobos
    Spec od komputerów

    Korzystasz jeszcze z tego programu?
    () C:\Program Files (x86)\KeyDominator1\KeyDominator1\KeyDominator1.exe

    W logach nic spejcalnego nie widac. Sprobuj wylaczyc te uslugi (w services.msc):
    R2 clr_optimization_v3.0.40314_64; C:\Windows\microsoft.net\framework\v3.5\mscorsv.exe [20992 2012-12-01] (Microsoft Corporation) [Brak podpisu cyfrowego]
    U2 HiPatchService; S:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [9728 2016-09-15] (Hi-Rez Studios) [Brak podpisu cyfrowego]
    R2 HTC Account Service; C:\Program Files\HTC Account\Htc.Identity.Service.exe [7680 2016-06-15] (HTC Corporation) [Brak podpisu cyfrowego]
    S3 IDriverT; C:\Program Files (x86)\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe [69632 2005-11-14] (Macrovision Corporation) [Brak podpisu cyfrowego]
    R2 ViveFSM; C:\Program Files\Common Files\HTC\Vive\Drivers\vivefs\vivefsm.exe [77648 2016-05-31] ()
    S2 Viveport; C:\Program Files (x86)\ViveSetup\PCClient\ViveportService.exe [10240 2016-05-18] () [Brak podpisu cyfrowego]

    Wykonaj jeszcze raz Fixlist:
    () C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet.exe
    C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet.exe

    Uruchom ponownie system i sprawdz czy proces znowu sie uruchomi.

    0
  • #11 28 Wrz 2016 23:03
    Amynue
    Poziom 8  

    KeyDominator1 to oprogramowanie od klawiatury A4tech Bloody B540, jest potrzebne ponieważ zapamiętuje ustawienia podświetlenia klawiatury.

    Co do wymienionych usług:
    HiPatchService.exe - to od gry Paladins tworzonej przez Hi-Rez Studios, pobrana była przez Steama, a więc jest czysta. Zainstalowana była tego samego dnia którego pojawił się wirus, ale wirus już był zanim ją zainstalowałem.

    ViveportService.exe, Htc.Identity.Service.exe oraz vivefsm.exe to część oprogramowania gogli VR - HTC Vive, zainstalowane kilka miesięcy temu, pobrane prosto ze strony HTC.

    IDriverT.exe - nie mam pojęcia co to. Opis w menadżerze usług: "Provides support for the Running Object Table for InstallShield Drivers"

    mscorsv.exe - wpisałem w Google "C:\Windows\microsoft.net\framework\v3.5\mscorsv.exe" i znalazło tylko dwa wyniki z czego jeden dotyczy właśnie aspnet.exe:
    https://forums.malwarebytes.org/topic/155558-bitmining-software-disguised-as-aspnetexe/
    Natknąłem się na ten temat już wcześniej gdy szukałem w Google informacji na temat "aspnet.exe". Wynikało z niego że nie udało się im odnaleźć przyczyny, a więc go olałem. Ale fakt że na tamtym zainfekowanym komputerze ten plik również się znajdował, sugerowałby że to właśnie on może kontrolować aspnet.exe

    Około 4 godziny temu Windows 10 zainstalował mi dużą aktualizację - Anniversary Update i od tamtego czasu aspnet.exe jeszcze się nie pojawił. Co ciekawe, chciałem znaleźć i wyłączyć tą usługę - mscorsv.exe, ale nie widać jej w menadżerze usług, zakładając że powinna się znajdować pod nazwą "clr_optimization_v3.0.40314_64". W folderze C:\Windows\microsoft.net\framework\v3.5\ brak pliku mscorsv.exe.

    Być może aktualizacja usunęła tą usługę, a co za tym idzie rozwiązała problem...

    0
  • #12 30 Wrz 2016 17:10
    Amynue
    Poziom 8  

    Mineły prawie dwie doby od instalacji Anniversary Update i aspnet.exe ani śladu. Więc wszystko wskazuje na to że aktualizacja usunęła wirusa.

    Prawdopodobnie ta usługa sterowała plikiem aspnet.exe:
    R2 clr_optimization_v3.0.40314_64; C:\Windows\microsoft.net\framework\v3.5\mscorsv.exe [20992 2012-12-01] (Microsoft Corporation) [Brak podpisu cyfrowego]


    Dziękuję za pomoc, Kolobos! :please:

    0