Решена Майнер на моём ПК

Статус
В этой теме нельзя размещать новые ответы.

Петя

Новый пользователь
Сообщения
8
Реакции
1
Приветствую, на днях словил майнер Nicehash. Обнаружил его случайно: вчера стал браузер зависать, решил порыться в диспетчере. Там обраружил какой-то процесс, съедавший много оперативной памяти (тоже miner в названии был, nvidia). Остановил его, но свое расположение он не давал. Прогнал ПК через Microsoft Security. Был обнаружен какой-то вредоносный файл (неудаляющийся!). На следующий день после работы за ПК, перед выключением высветилось предупреждение о том, что не стоит выключать ПК, так как кто-то его еще использует (ну и -место для ругательства-). Начал снова рыться в диспетчере, и опа - Nicehash miner. Установил AV block remover (AVbr) 2022.09.12. Запустил после изменения имени файла и в безопасном режиме, а то программа не запускалась (некая ошибка). Прикладываю логи. Жду дальнейших указаний.
С уважением, рядовой пользователь ПК
 

Вложения

  • AV_block_remove_2023.01.23-00.54.log
    410 байт · Просмотры: 0
  • AV_block_remove_2023.01.23-00.55.log
    7.9 KB · Просмотры: 2
Еще нужны стандартные логи
 
Прощу прощение за мою невнимательность. Прилагаю необходимую информацию
 

Вложения

  • CollectionLog-2023.01.23-01.23.zip
    65.9 KB · Просмотры: 2
Здравствуйте!

"Пофиксите" в HijackThis только следующие строки:
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: Восстановление сервиса обновлений Яндекс.Браузера - C:\Program Files (x86)\Yandex\YandexBrowser\22.7.3.831\service_update.exe --repair (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вечер добрый. Благодарю за ответ. В HijackThis "пофиксил" только 5 пунктов из 6, так как после сканирования 1-ого пункта не оказалось в списке (O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1). Также прилагаю отчеты, после сканирования Farbar Recovery Scan Tool. Жду дальнейших указаний
 

Вложения

  • FRST.txt
    43.3 KB · Просмотры: 2
  • Addition.txt
    70.1 KB · Просмотры: 3
Что с проблемой?
 
признаки майнера еще наблюдаются или другое аномальное поведение компьютера?
 
Нет, никаких аномалий не наблюдаю
 
Тогда завершаем.

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прошу
 

Вложения

  • SecurityCheck.txt
    11.9 KB · Просмотры: 1
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
Zona Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.5.03.2398 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.22.11.5.715 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^


Читайте Рекомендации после удаления вредоносного ПО
 
Благодарю за помощь, как можно вас финансово отблагодарить?
 
Рады были помочь.
Это не обязательно, но раз уж спросили - https://safezone.cc/donate/
 
Я считаю, что такой труд должен бы поощрен (своей копеечкой). Вы делаете большое и полезное дело, помогая пользователям безвозмездно и обучая их компьютерной грамотности. Так держать💪
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу