Решена John майнер

L

Langipas

Новый пользователь
Сообщения
16
Реакции
0
Заметил подлагивание системы, сначало эт был процесс Realtek HD. Убрал, увидел через включенные скрытые папки файлы антивиров, с доступом админа, удалил через выдачу прав на папку, и позже уже заметил, что в удаленном доступе есть пользователь админ, malwar ругается на майнер, и удаляет и занова появляется, и снова скачивает папки в Program Files (Data) (x86).

Ниже прикрепил FRST
 

Вложения

  • logs.rar
    34.8 KB · Просмотры: 6
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3235092276-839584062-52773601-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-3235092276-839584062-52773601-1001\...\Run: [utweb] => "C:\Users\parav\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
Task: {32578795-D5BD-47FA-96CC-0D9EAE69F485} - System32\Tasks\Microsoft\Windows\RecoveryManagerI\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {38D75E8D-B61F-49B4-8310-967E12A6FFFF} - System32\Tasks\Microsoft\Windows\WindowsBackup\DataRecovery => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {391AD511-7C09-4D02-AE23-86AE3A20D94E} - System32\Tasks\Microsoft\Windows\RecoveryManagerI\RecoveryHosts => C:\Programdata\Microsoft\wmeij\script.bat [2811 2023-05-24] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Programdata\Microsoft\wmeij\script.bat
Task: {5CE64A85-E265-4C1D-9BCC-B3EC50D350E5} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {64378695-C764-459B-A249-39B45311742C} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
C:\ProgramData\Windows Tasks Service\winserv.exe
Task: {8B4E76EF-09C3-4FF2-A4A7-2D176006A475} - System32\Tasks\Microsoft\Windows\WindowsBackup\RecoveryData => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {8E4F0949-022A-4FCF-BA1D-97CDEC551201} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {CE8FABA9-CCAE-48CD-9484-DAC92BED53A3} - System32\Tasks\Microsoft\Windows\RecoveryManagerI\wmeij => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {D9318679-631B-4A9A-A490-68B7A6389A39} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {E33736C3-70C9-4005-AD7B-9350D8E98049} - System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem => C:\Programdata\ReaItekHD\taskhost.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {F7ED4BBE-5A87-4D5D-8FCA-8E0E29B4CC7B} - System32\Tasks\Microsoft\Windows\WindowsBackup\ManagerSystem => C:\Programdata\ReaItekHD\taskhostw.exe  (Нет файла) <==== ВНИМАНИЕ
Task: {12204F24-779A-4A49-86D0-5758FC0C4813} - System32\Tasks\Microsoft\WindowsUpdate\RecoveryManager => C:\Windows\SysWOW64\unsecapp.exe [13928464 2023-05-23] (Microsoft Corporation) [Файл не подписан]
C:\Windows\SysWOW64\unsecapp.exe
Task: {BB256242-429F-4535-A1D5-372A553A6CD4} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe  /minimized (Нет файла)
S2 TermService; %ProgramFiles%\RDP Wrapper\rdpwrap.dll [X] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2023-05-08 20:22 - 2023-05-08 20:22 - 000000000 __SHD C:\Users\parav\Downloads\AV_block_remover
2023-05-08 20:22 - 2023-05-08 20:22 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2023-05-08 20:22 - 2023-05-08 20:22 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2023-05-08 20:22 - 2023-05-08 20:22 - 000000000 __SHD C:\Program Files\Common Files\AV
2023-05-08 20:21 C:\Windows\speechstracing
FirewallRules: [{369EDCBF-15EF-4E0F-BA55-51301F85737A}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{412B2D88-A21F-4B0E-96A7-661143FA4DF8}] => (Allow) C:\Users\parav\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{9324B77D-5D02-4DE4-96EB-8C3ED947B414}] => (Allow) C:\Users\parav\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{068FC412-0962-400C-AF03-9C1CB63CD7E9}] => (Allow) C:\Users\parav\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{3C0165E4-F670-4E4F-8D17-2484481641EB}] => (Allow) C:\Users\parav\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{A1E30D00-AFCC-4EDF-9CAB-B3A6A1AB1E36}] => (Allow) G:\FORS\Forspoken2\steam.exe => Нет файла
FirewallRules: [{800228CC-5673-4AB4-B165-948F9CCEE0DD}] => (Allow) G:\FORS\Forspoken2\steam.exe => Нет файла
FirewallRules: [{25E524CF-B1C5-4C1D-97E5-7629F6C6CBC7}] => (Allow) G:\FORS\Forspoken2\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{FCEBA567-59DC-4C4F-9378-885A0A466E0C}] => (Allow) G:\FORS\Forspoken2\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{5B263B4A-04E7-480C-893D-3D159749161F}] => (Allow) C:\Users\parav\OneDrive\Рабочий стол\PlayAstellia.exe => Нет файла
FirewallRules: [{8182A2CC-73F3-41AE-BC04-4725F2123A92}] => (Allow) C:\Users\parav\OneDrive\Рабочий стол\PlayAstellia.exe => Нет файла
FirewallRules: [{F7227A20-87EE-47E4-B634-D1D717FDF180}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{54BA8B3C-47B6-4DA0-993E-A91D68716A90}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{05D28CCE-569F-47D0-AD58-10918AECC719}] => (Block) LPort=445
FirewallRules: [{3737A37F-9682-4230-9045-F48DBCD5D00F}] => (Block) LPort=445
FirewallRules: [{A2363331-CC21-4C93-87E7-6CB3D0C3DFBF}] => (Block) LPort=139
FirewallRules: [{1C6A38B6-52FD-476B-AE1A-59697E1AD106}] => (Block) LPort=139
FirewallRules: [{2AE74653-AFD0-4F32-BC90-05191320EF2C}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{EEC36CF0-9399-4A6C-9284-E7A766BB2B2C}] => (Allow) LPort=3389
FirewallRules: [TCP Query User{F078EC82-0041-496A-8A3D-BECF4208381D}C:\program files (x86)\utorrent\utorrent.exe] => (Block) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{B4384408-0136-4D47-A635-80BB16A6CCF9}C:\program files (x86)\utorrent\utorrent.exe] => (Block) C:\program files (x86)\utorrent\utorrent.exe => Нет файла
FirewallRules: [{A3D84397-56DF-4067-9A45-2F9B00ED706C}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.30\OverwolfBrowser.exe => Нет файла
FirewallRules: [{9C0C10BC-B6D1-42F0-8ABD-5CA3B7D9F5AE}] => (Allow) C:\Program Files (x86)\Overwolf\0.223.0.30\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C86F404E-3C26-43D7-A5E7-446C16CDAB32}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.30\OverwolfBrowser.exe => Нет файла
FirewallRules: [{CFF8AAC0-0EB3-4177-99FF-708669256F0C}] => (Block) C:\Program Files (x86)\Overwolf\0.223.0.30\OverwolfBrowser.exe => Нет файла
FirewallRules: [{E173B9DA-9615-4681-ACB8-F65D2B2C2D3A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{24788548-8CD8-4C1B-A81B-CA5F473377CE}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{55B08ABC-8466-427F-94AF-8124C608BD05}] => (Block) LPort=445
FirewallRules: [{A54DE1B7-AD12-43F9-98A0-D8EDFB43F317}] => (Block) LPort=445
FirewallRules: [{AA2800C3-575E-48C4-8553-92F773D07AC8}] => (Block) LPort=139
FirewallRules: [{C4E9B2D9-F222-48A1-8119-B4AC87E16EF3}] => (Block) LPort=139
FirewallRules: [{551C27BA-D0F3-4CBF-8D5F-421431F2BD3C}] => (Allow) LPort=3389
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепил
 

Вложения

  • Fixlog.txt
    23.7 KB · Просмотры: 2
Теперь нужен свежий лог FRST
 
logs2
 

Вложения

  • log2.rar
    33.1 KB · Просмотры: 3
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Task: {62FDA611-3B2D-45D2-97F0-799E792FFB71} - System32\Tasks\Microsoft\Windows\WindowsBackup\RecoveryManager => C:\Windows\SysWOW64\unsecapp.exe  (Нет файла)
2023-05-24 16:54 - 2023-05-24 16:54 - 000000000 __SHD C:\Users\parav\Downloads\AutoLogger
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Подготовьте лог лог SecurityCheck by glax24

Что и откуда качали из вареза?
 
akok написал(а):
Что и откуда качали из вареза?
Нажмите для раскрытия...
Это сложно вспомнить, потому что я даже не знаю когда именно у меня эт проявилось, я много что скачиваю, фильмы игры, и прочее, ПО редко, но бывает тоже. Так что, напрямую ответить не могу, ибо я просто резко стал замечать низкий фпс, думал файлы тогда удалил и все прекратилось, а сегодня заметил что снова Program Data, начала закрываться, и через безопастный увидел что там снова скрытые файлы были.
 

Вложения

  • Fixlog.txt
    2.6 KB · Просмотры: 1
  • SecurityCheck.txt
    9.3 KB · Просмотры: 2
Помимо этого, у меня и расширение в браузере было, как почитало, оно тоже внутренне майнило засчет браузера.
 
Если сохранился отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению, пожалуйста.

Исправьте по возможности:
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes version 4.5.28.266 v.4.5.28.266 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.20 (64-разрядная) v.6.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9011 Внимание! Скачать обновления
Telegram Desktop v.4.7.1 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.3.0 Full v.17.3.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 98.0.4759.39 v.98.0.4759.39 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.23.3.4.603 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


На заметку - Рекомендации после удаления вредоносного ПО
 
Увы не сохранился, все обновления произвел, правда первая ссылка у меня не открывалась по причине закрытого доступа Amazon. Но обновил просто антивирус.

Я сделал снова, но там пустовато.
 

Вложения

  • AV_block_remove_2023.05.25-13.38.log
    275 байт · Просмотры: 2
  • avz_log.txt
    4.4 KB · Просмотры: 1
Так же , я не могу создать точку восстановления.
 

Вложения

  • 1685005560406.png
    1685005560406.png
    23.5 KB · Просмотры: 22
  • 1685005609573.png
    1685005609573.png
    5.4 KB · Просмотры: 32
Да и обновиться я больше не могу)
 

Вложения

  • 1685006182918.png
    1685006182918.png
    124.7 KB · Просмотры: 28
Langipas написал(а):
Я сделал снова
Нажмите для раскрытия...
Нет, повторно не нужно запускать.

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 
Скачайте вложенный архив, распакуйте его. Войдите в безопасный режим и запустите reg-файл.
Согласитесь с внесением изменений в реестр.
Перезагрузите компьютер.

Соберите новый лог FSS.txt и новые логи FRST.txt и Addition.txt
 

Вложения

  • DoSvc.zip
    1.1 KB · Просмотры: 1
+
 

Вложения

  • FSS.txt
    3.2 KB · Просмотры: 1
  • FRST.txt
    54.6 KB · Просмотры: 1
  • Addition.txt
    65.7 KB · Просмотры: 1
На системном диске маловато места:
Drive c: () (Fixed) (Total:222.95 GB) (Free:32.68 GB)
Нажмите для раскрытия...
что составляет 14% от объема. Постарайтесь увеличить хотя бы до 20%.

Попробуем сделать т.н. генеральную уборку.
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
C:\Users\parav\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
StartBatch:
  ECHO Y|CHKDSK C: /F
  pushd c:\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  net stop bits
  net stop cryptSvc
  net stop wuauserv
  net stop msiserver
  del /s /q C:\Windows\SoftwareDistribution\download\*.*
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  netsh winsock reset catalog
  netsh int ipv4 reset reset.log
  netsh int ipv6 reset reset.log
  ipconfig /release
  ipconfig /renew
  ipconfig /flushdns
  ipconfig /registerdns
  net start bfe
  net start bits
  net start cryptSvc
  net start eventsystem
  net start msiserver
  net start rpcss
  net start sdrsvc
  net start trustedinstaller
  net start vss
  net start winmgmt
  net start wuauserv
  netsh winhttp reset proxy
  bitsadmin /list /allusers
  bitsadmin /reset /allusers
EndBatch:
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Выполнение скрипта может занять длительное время (до получаса), дождитесь окончания.

Подробнее читайте в этом руководстве.
 
Освободил половину пространства.
 

Вложения

  • Fixlog.txt
    349.5 KB · Просмотры: 1
Последнее редактирование:
Хорошо, попутно:
Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.
Нажмите для раскрытия...

Проверьте проблемы и если сохраняются, новый FSS.txt файл прикрепите.
 
Ровно тоже самое.
 

Вложения

  • FSS.txt
    2.8 KB · Просмотры: 1
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу