Решена Безумный майнер.

Статус
В этой теме нельзя размещать новые ответы.

?????????????

Новый пользователь
Сообщения
10
Реакции
0
Доброго времени суток. Все началось с того, что я решил поменять антивирус со стандартного McAf на касперского. Удалил родной антивирус и пошел скачивать другой. Скачал касперского, а он не открывается. В ходе недолгих поисков понял, что это майнер. Нашел одну тему по поводу решения этой проблемы, но она не помогла. Скачать frst64 и avbr удалось только путем скачивания на телефон, а с телефона на комп через телеграмм и переименованиями exe. Все сайты связанный с этими приложениями и впринципе с майнером были успешно закрыты вирусом. frst64 и avbr вообще не открывались, только в безопасном режиме. открыл отсканил и в том и в том приложении, но после проверки обе пишут, мол вирусов не обнаружено. Пытался скачать logger с ним тоже проблемы, открываю уже переименованный exe файл - ничего не происходит. Прошу добрых людей и профессионалов своего дела помочь мне. Прикрепляю логи с frst64. Логгер не качается.
 

Вложения

  • Addition.txt
    37.2 KB · Просмотры: 8
  • Fixlog.txt
    6.6 KB · Просмотры: 8
  • FRST.txt
    48.8 KB · Просмотры: 8
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером в обычном режиме загрузки.
 
Я ведь указал выше, что логер не качается, а все, что собрал ремувер прикрепил
 

Вложения

  • CollectionLog-2022.12.07-20.43.zip
    58.4 KB · Просмотры: 7
  • report2.log
    2.8 KB · Просмотры: 6
  • report1.log
    890 байт · Просмотры: 6
В очередной раз повторяю - выполните для начала написанное в сообщении №2
 
готово
 

Вложения

  • AV_block_remove_2022.12.07-23.14.log
    10.7 KB · Просмотры: 1
  • CollectionLog-2022.12.07-23.21.zip
    57 KB · Просмотры: 9
Майнер вроде как удалился, больше не блокирует приложения, антивирус установился, может как-то нужно зачистить хвосты?
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Вложения

  • main.rar
    20.3 KB · Просмотры: 7
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Task: {1B4931DA-73BD-4AC2-8841-BF91CD81FC5B} - System32\Tasks\zCdlAfpkCRupWo => rundll32 "C:\Program Files (x86)\UPiKdlmjintU2\mncDWPJUUAjvi.dll",#1 <==== ВНИМАНИЕ
    Task: {2B89CEBF-EAEF-4839-BF55-BBC862D3E27A} - System32\Tasks\LMCxaldmwTahqDIMOdI2 => rundll32 "C:\Program Files (x86)\onXUABqcucsbC\uttHzTW.dll",#1 <==== ВНИМАНИЕ
    Task: {35B5FD57-36B6-4C1A-BBEB-18CA68E63062} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
    Task: {7499C1A1-4B98-4CBA-8098-24528371D27D} - System32\Tasks\zHKegEmIohPhpKW2 => rundll32 "C:\Program Files (x86)\GIdtwOvcU\nDPUAv.dll",#1 <==== ВНИМАНИЕ
    Task: {830B5EFF-3481-4F70-A053-F7558DD7C2A0} - System32\Tasks\postcards-produce => C:\ProgramData\portraits-porsche\bin.exe /H (Нет файла)
    Task: {A7C6ACA3-56D8-49B2-9DFE-4E459434593F} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
    Task: {ACEF40CF-BC37-4358-931E-A3034AADEFED} - System32\Tasks\obXMskScXRhhRySgB2 => rundll32 "C:\Program Files (x86)\xbWJdjSJJXoKgeaaacR\XOQbKex.dll",#1 <==== ВНИМАНИЕ
    Task: {E4131519-0D50-4AD5-BCB2-07F1A5FAF54A} - System32\Tasks\AdLock Update Task-S-1-5-21-593660428-3692006317-1001662643-1002 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Egor!\AppData\Local\Programs\asevcuk865\743120b352.msi" /quiet CHROME=1
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.istartsurf.com/?type=hp&ts=1435166822&z=c160c4c6c05139511091a77gfz3ccw8g3q7q6b5o5g&from=face&uid=WDCXWD1600AAJS-22L7A0_WD-WMAV3H85860858608","hxxp://www.istartsurf.com/?type=hppp&ts=1435166880&z=941a492dbd0fb32975c53b2gaz4cdw2gaq4q0b4b5e&from=face&uid=WDCXWD1600AAJS-22L7A0_WD-WMAV3H85860858608","?type=hppp&ts=1435169799&from=xtab&uid=990C85685800419692B783D9DCAFF9D9","hxxp://mail.ru/cnt/10445?gp=newcustom15"
    S2 0216791670266112mcinstcleanup; C:\Users\Egor!\AppData\Local\Temp\021679~1.EXE -cleanup -nolog [X] <==== ВНИМАНИЕ
    2022-12-05 22:59 - 2022-12-08 12:57 - 000000000 ____D C:\ProgramData\wkMlYJXhOFjlQsVB
    2022-12-05 22:59 - 2022-12-05 22:59 - 000003202 _____ C:\WINDOWS\system32\Tasks\zCdlAfpkCRupWo
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002872 _____ C:\WINDOWS\system32\Tasks\obXMskScXRhhRySgB2
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002860 _____ C:\WINDOWS\system32\Tasks\LMCxaldmwTahqDIMOdI2
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002850 _____ C:\WINDOWS\system32\Tasks\zHKegEmIohPhpKW2
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
    Task: {1B4931DA-73BD-4AC2-8841-BF91CD81FC5B} - System32\Tasks\zCdlAfpkCRupWo => rundll32 "C:\Program Files (x86)\UPiKdlmjintU2\mncDWPJUUAjvi.dll",#1 <==== ВНИМАНИЕ
    Task: {2B89CEBF-EAEF-4839-BF55-BBC862D3E27A} - System32\Tasks\LMCxaldmwTahqDIMOdI2 => rundll32 "C:\Program Files (x86)\onXUABqcucsbC\uttHzTW.dll",#1 <==== ВНИМАНИЕ
    Task: {35B5FD57-36B6-4C1A-BBEB-18CA68E63062} - \Microsoft\Windows\Wininet\winser -> Нет файла <==== ВНИМАНИЕ
    Task: {7499C1A1-4B98-4CBA-8098-24528371D27D} - System32\Tasks\zHKegEmIohPhpKW2 => rundll32 "C:\Program Files (x86)\GIdtwOvcU\nDPUAv.dll",#1 <==== ВНИМАНИЕ
    Task: {830B5EFF-3481-4F70-A053-F7558DD7C2A0} - System32\Tasks\postcards-produce => C:\ProgramData\portraits-porsche\bin.exe /H (Нет файла)
    Task: {A7C6ACA3-56D8-49B2-9DFE-4E459434593F} - \Microsoft\Windows\Wininet\winsers -> Нет файла <==== ВНИМАНИЕ
    Task: {ACEF40CF-BC37-4358-931E-A3034AADEFED} - System32\Tasks\obXMskScXRhhRySgB2 => rundll32 "C:\Program Files (x86)\xbWJdjSJJXoKgeaaacR\XOQbKex.dll",#1 <==== ВНИМАНИЕ
    Task: {E4131519-0D50-4AD5-BCB2-07F1A5FAF54A} - System32\Tasks\AdLock Update Task-S-1-5-21-593660428-3692006317-1001662643-1002 => "%WINDIR%\System32\msiexec.exe" /i "C:\Users\Egor!\AppData\Local\Programs\asevcuk865\743120b352.msi" /quiet CHROME=1
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://www.istartsurf.com/?type=hp&ts=1435166822&z=c160c4c6c05139511091a77gfz3ccw8g3q7q6b5o5g&from=face&uid=WDCXWD1600AAJS-22L7A0_WD-WMAV3H85860858608","hxxp://www.istartsurf.com/?type=hppp&ts=1435166880&z=941a492dbd0fb32975c53b2gaz4cdw2gaq4q0b4b5e&from=face&uid=WDCXWD1600AAJS-22L7A0_WD-WMAV3H85860858608","?type=hppp&ts=1435169799&from=xtab&uid=990C85685800419692B783D9DCAFF9D9","hxxp://mail.ru/cnt/10445?gp=newcustom15"
    S2 0216791670266112mcinstcleanup; C:\Users\Egor!\AppData\Local\Temp\021679~1.EXE -cleanup -nolog [X] <==== ВНИМАНИЕ
    2022-12-05 22:59 - 2022-12-08 12:57 - 000000000 ____D C:\ProgramData\wkMlYJXhOFjlQsVB
    2022-12-05 22:59 - 2022-12-05 22:59 - 000003202 _____ C:\WINDOWS\system32\Tasks\zCdlAfpkCRupWo
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002872 _____ C:\WINDOWS\system32\Tasks\obXMskScXRhhRySgB2
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002860 _____ C:\WINDOWS\system32\Tasks\LMCxaldmwTahqDIMOdI2
    2022-12-05 22:59 - 2022-12-05 22:59 - 000002850 _____ C:\WINDOWS\system32\Tasks\zHKegEmIohPhpKW2
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Доброго времени суток, извиняюсь за задержку.
 

Вложения

  • Fixlog.txt
    8.7 KB · Просмотры: 6
Хорошо. Что сейчас с проблемой?
 
Сделаем дополнительную проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 
Удалять (помещать в карантин) ничего не нужно.

Может остались какие-то следы?
Мы проверили систему несколькими программами разных производителей.

Завершаем:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Удалять (помещать в карантин) ничего не нужно.


Мы проверили систему несколькими программами разных производителей.

Завершаем:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Удалять (помещать в карантин) ничего не нужно.


Мы проверили систему несколькими программами разных производителей.

Завершаем:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Спасибо за помощь. Вы настоящие профессионалы. Удачи вам. С наступающим новым годом!

Тему можно закрывать.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу