Решена майнер tool.btcmine.2711

S

scacer

Новый пользователь
Сообщения
6
Реакции
1
Доброго времени суток, нужна ваша помощь
По неосторожности поймал майнер, сразу понял, др вебом курент отсканил, убрал, естественно после перезагрузки все повторилось. Он ограничивает во всем: диспетчер задач, браузер(даже ваш сайт(пишу с другого устройства)), соответственно логи сделать не получается, просто отрубает процесс( скачал его у вас в безопасном режиме, просто изначально был в нем, подумал что логи надо делать в обычном режиме запуска). натыкался на avbr, качал, но даже перееменовывание не помогает, как и безопасный режим, руки скручены, что делать вообще не знаю, переустановкой снова заниматься пока желания нет, хочется разобраться
 
Здравствуйте!

AVbr поместите в другую папку (не на Рабочий стол и не в Загрузки) и запускайте.
Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером уже из нормального режима по правилам раздела - Правила оформления запроса о помощи
 
Получилось запустить в безопасном режиме avbr
 

Вложения

  • AV_block_remove_2023.05.29-11.16.log
    8.8 KB · Просмотры: 7
  • CollectionLog-2023.05.29-11.21.zip
    46.6 KB · Просмотры: 4
Хорошо, продолжим:

1. "Пофиксите" в HijackThis только следующие строки:
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Перезагрузите компьютер.

2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Так, есть
 

Вложения

  • Addition.txt
    31.9 KB · Просмотры: 1
  • FRST.txt
    40.1 KB · Просмотры: 1
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
DriverPack
Нажмите для раскрытия...

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
2023-05-27 18:26 - 2023-05-27 18:26 - 000000000 __SHD C:\Users\Andrew\Downloads\AV_block_remover
2023-05-27 18:26 - 2023-05-27 18:26 - 000000000 __SHD C:\Users\Andrew\Desktop\AV_block_remover
2023-05-27 18:26 - 2023-05-27 18:26 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-27 18:26 - 2023-05-27 18:26 - 000000000 __SHD C:\Program Files\RogueKiller
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TechPowerUp GPU-Z.lnk:9F642E383D [3442]
FirewallRules: [{B5CD5CC3-75D8-4B76-B80E-B12791D9AA2B}] => (Allow) D:\DriverPack\tools\aria2c.exe () [Файл не подписан]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
есть
 

Вложения

  • Fixlog.txt
    4.6 KB · Просмотры: 1
Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
выполнено
 

Вложения

  • SecurityCheck.txt
    6.4 KB · Просмотры: 1
Исправьте по возможности:
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.418.18362.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46812 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Microsoft Edge v.113.0.1774.35 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
---------------------------- [ UnwantedApps ] -----------------------------
Hitman. Кровавые деньги v1.2 / [Full Rus] RePack by R.G. Revenants Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.


Читайте Рекомендации после удаления вредоносного ПО
 
Спасибо за вашу работу, неоценимая помощь, за которую можно только поблагодарить!"
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу