Решена Не могу справиться с майнером RobotDemo.exe

Статус
В этой теме нельзя размещать новые ответы.

TheZorg

Новый пользователь
Сообщения
4
Реакции
0
Здравствуйте. Нашёл несколько майнеров которые сильно грузят и без того не мощный ноутбук. Пробовал лечить антивирусами, программами ccleaner и malwarebytes, чистил у ручную но всё тщетно. Файлы появляются заново. Пожалуйста подскажите как решить проблему. Лог прикрепил
 

Вложения

  • CollectionLog-2022.07.02-13.08.zip
    51.6 KB · Просмотры: 10
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '32');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '32');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{90f55de6-0c04-4060-9ba0-365a4ba8b3e3}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{90f55de6-0c04-4060-9ba0-365a4ba8b3e3}: [NameServer] = 37.1.207.126
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2160083479-2722301622-1382999186-1002 - C:\Users\svzor\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2160083479-2722301622-1382999186-500 - C:\Users\svzor\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
Всё сделал.
Отчёт о работе ClearNK приложил.
Имя карантина 2022.07.02_quarantine_983aa52cb68269e171e85fb60c979e02.7z
Выполнил повторную диагностику, лог файл приложил
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Transmission', 4);
 QuarantineFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '');
 QuarantineFile('c:\program files (x86)\transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll', '32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe', '32');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '32');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{90f55de6-0c04-4060-9ba0-365a4ba8b3e3}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{90f55de6-0c04-4060-9ba0-365a4ba8b3e3}: [NameServer] = 37.1.207.126
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2160083479-2722301622-1382999186-1002 - C:\Users\svzor\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)
O22 - Task: OneDrive Standalone Update Task-S-1-5-21-2160083479-2722301622-1382999186-500 - C:\Users\svzor\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (file missing)

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Вложения

  • ClearLNK-2022.07.02_13.39.25.log
    8.7 KB · Просмотры: 1
  • CollectionLog-2022.07.02-14.24.zip
    58.3 KB · Просмотры: 8
Проверьте, что с проблемой сейчас.
 
Проверьте, что с проблемой сейчас.
Компьютер стал работать заметно шустрее. В диспетчере подозрительных процессов не нашёл. Буду следить за системой. Спасибо Вам большое, добрый человек!
 
Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.6.1 (617) Внимание! Скачать обновления
Telegram Desktop version 3.7.3 v.3.7.3 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-i586.exe)^

Желательно заменить uBlock Pro на uBlock Origin или другой блокиратор рекламы. Судя по всему эта утилита клон uBlock Origin с встроенным отслеживанием пользователя через google аналитику

И удачи
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу