Решена Лечение вируса-майнера, грузит ЦП

Статус
В этой теме нельзя размещать новые ответы.
T

Tallilu

Новый пользователь
Сообщения
7
Реакции
0
Лечение вируса-майнера, грузит ЦП

Всем добрый день!
Прошу о помощи, поймала майнер при установке данной игрушки https://byrut.org/27851-freshwomen.html.
Грузит ЦП, открываю диспетчер задач, прячется, нагрузка падает. Через некоторое время диспетчер закрывается. Также блочатся сайты с антивирусами, описаниями вируса и способами лечения - браузер закрывается.
Из лечения пробовала следующее:
1. Dr. web Cureit - находил какие-то вирусы типа t*ol b*tcmine XXXX и других, все вылечила/удалила, не помогло.
2. AnVir Task Manager - удалось запустить только в безопасном режиме, увидела подозрительный R*altek HD Audio taskhost*.exe - удалила его, не помогло.
3. AV_block_remove запустила в безопасном режиме, выгрузила лог (прикрепляю)
 

Вложения

  • AV_block_remove_2022.09.04-09.57.log
    13.2 KB · Просмотры: 2
Последнее редактирование:
После запуска AV_block_remove кстати браузер перестал вылетать, диспетчер задач тоже не закрывается самостоятельно
 
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 
thyrex написал(а):
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Нажмите для раскрытия...
Готово
 

Вложения

  • FRST+Addition.rar
    27.7 KB · Просмотры: 5
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Hosts:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {41262177-05CD-42D6-8FB5-FFA8362182BA} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {71D47E41-89B2-4128-BA71-4B8CC9D54580} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {92A7EF1D-EC30-4813-8C35-E5198BF28BF7} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {D2F8CF9E-9EE4-4C68-B712-38D976E93BD4} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-922049684-382295810-3405336698-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
FirewallRules: [{5D800C03-AF3F-430B-A273-A19032FF0D9C}] => (Block) LPort=445
FirewallRules: [{3C19A8C3-5784-4AD1-BDFA-D0C1599EC7E0}] => (Block) LPort=445
FirewallRules: [{FB399817-811A-4CC8-8242-37A6D09185E6}] => (Block) LPort=139
FirewallRules: [{3D363465-D276-4769-9FCD-7785C2E4382D}] => (Block) LPort=139
FirewallRules: [{4B050E56-2D85-40C2-9C0E-76A604DFB772}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{0BAA0C04-BC43-4FEB-A50A-2B6BBBD41A1D}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{D8E1B8BC-D90E-47E4-8293-06D8AF2D64CA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{079C4B35-B103-4993-A953-FDAECC7BC60D}] => (Allow) LPort=3389
FirewallRules: [TCP Query User{D14B48E3-7CFF-4E56-A769-7B7ADA6BD654}C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe] => (Allow) C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe => Нет файла
FirewallRules: [UDP Query User{63F2FF28-D2F8-450C-9BFD-54C1EDB9E09A}C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe] => (Allow) C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Hosts:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {41262177-05CD-42D6-8FB5-FFA8362182BA} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {71D47E41-89B2-4128-BA71-4B8CC9D54580} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {92A7EF1D-EC30-4813-8C35-E5198BF28BF7} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {D2F8CF9E-9EE4-4C68-B712-38D976E93BD4} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe <==== ВНИМАНИЕ
Edge HKU\S-1-5-21-922049684-382295810-3405336698-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [ahkjpbeeocnddjkakilopmfdlnjdpcdm]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
FirewallRules: [{5D800C03-AF3F-430B-A273-A19032FF0D9C}] => (Block) LPort=445
FirewallRules: [{3C19A8C3-5784-4AD1-BDFA-D0C1599EC7E0}] => (Block) LPort=445
FirewallRules: [{FB399817-811A-4CC8-8242-37A6D09185E6}] => (Block) LPort=139
FirewallRules: [{3D363465-D276-4769-9FCD-7785C2E4382D}] => (Block) LPort=139
FirewallRules: [{4B050E56-2D85-40C2-9C0E-76A604DFB772}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{0BAA0C04-BC43-4FEB-A50A-2B6BBBD41A1D}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{D8E1B8BC-D90E-47E4-8293-06D8AF2D64CA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{079C4B35-B103-4993-A953-FDAECC7BC60D}] => (Allow) LPort=3389
FirewallRules: [TCP Query User{D14B48E3-7CFF-4E56-A769-7B7ADA6BD654}C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe] => (Allow) C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe => Нет файла
FirewallRules: [UDP Query User{63F2FF28-D2F8-450C-9BFD-54C1EDB9E09A}C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe] => (Allow) C:\users\татьяна\desktop\blood code\blood code\lib\windows-i686\bloodcode.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
Сделала
 

Вложения

  • Fixlog.txt
    8.6 KB · Просмотры: 2
Проблема решена?
 
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.3.5.1 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.006.20042 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

По возможности исправьте.
Читайте Рекомендации после удаления вредоносного ПО
 
Sandor написал(а):
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.3.5.1 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.20.006.20042 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

По возможности исправьте.
Читайте Рекомендации после удаления вредоносного ПО
Нажмите для раскрытия...
Спасибо!
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу