Решена NT Kernel & System МАЙНЕР - нужна помощь !

opasnost

Новый пользователь
Сообщения
8
Реакции
1
Грузит процессор на 100% , хитрый и коварный вирус ! Доктор веб не помогает ! единственное что временно помогает это - приостановка процессов NT Kernel & System через диспетчера задач/производительность/открыть монитор ресурсов/ ЛКМ - приостановить процесс ! только в таком случае у меня получилось запустить Autologger ! спасибо !
 

Вложения

  • CollectionLog-2022.06.22-15.11.zip
    96.8 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,212
Реакции
14,149
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)


Повторно запустите Autologger и прикрепите новый CollectionLog.
 

opasnost

Новый пользователь
Сообщения
8
Реакции
1
Готово !
 

Вложения

  • CollectionLog-2022.06.22-16.33.zip
    98.2 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,212
Реакции
14,149
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe','');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.


После проверьте, что с проблемой.
 

opasnost

Новый пользователь
Сообщения
8
Реакции
1
Спасибо брат ! Буду наблюдать , но вроде бы все нормализировалось ! Надеюсь что я от тебя не нахватал вирусни еще больше )):Mosking:
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,212
Реакции
14,149
Хорошая новость. Давайте еще дочистим хвосты майнера, если они остались.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

opasnost

Новый пользователь
Сообщения
8
Реакции
1
готово !
 

Вложения

  • FRST.txt
    67.8 KB · Просмотры: 1
  • Addition.txt
    90.5 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1874730287-2925810993-795880429-1001\...\MountPoints2: {bc3abe78-284b-11e9-a38e-b06ebf2afb12} - "G:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-1874730287-2925810993-795880429-1001\...\MountPoints2: {fca109b9-4bf9-11e9-a3be-b06ebf2afb12} - "G:\Setup.exe" 
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Profile 11\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
    CHR HKU\S-1-5-21-1874730287-2925810993-795880429-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    2022-06-16 13:24 - 2022-06-16 13:24 - 000000000 __SHD C:\Program Files\Rainmeter
    2022-06-16 13:24 - 2022-06-16 13:24 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
    2022-06-16 13:24 - 2022-06-16 13:24 - 000000000 __SHD C:\KVRT2020_Data
    2022-06-16 13:24 - 2022-06-16 13:24 - 000000000 ____D C:\Users\Антон\AppData\Roaming\RMS_settings
    2022-06-16 13:23 - 2022-06-16 13:23 - 000000000 __SHD C:\Users\John
    AlternateDataStreams: C:\Users\Антон\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    AlternateDataStreams: C:\Users\Антон\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394]
    FirewallRules: [{A654EF0A-0B71-4315-8502-988449C79313}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765
Достаточно было один раз выполнить скрипт.
В итоге - проблема решена?
 

opasnost

Новый пользователь
Сообщения
8
Реакции
1
Проблемы больше не наблюдаю ! спасибо за помощь ! добра вам ! :Good:
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765
Отлично, спасибо!

Проделайте завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: akok

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765
——————————————————————————————— [ Windows ] ———————————————————————————————
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
——————————————————————————— [ AdobeProduction ] ———————————————————————————
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
———————————————————————————— [ UnwantedApps ] —————————————————————————————
CCleaner v.5.46 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после удаления вредоносного ПО
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
9,265
Реакции
2,765
Да, верно.

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.23.0.74 v.3.23.0.74 Внимание! Скачать обновления
TeamViewer 9 v.9.0.32494 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.310 Внимание! Скачать обновления
Skype, версия 8.68 v.8.68 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.2.0.4 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 191 (64-bit) v.8.0.1910.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u333-windows-x64.exe)^
-------------------------------- [ Media ] --------------------------------
VLC media player v.2.2.4 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.96.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.102.0.5005.115 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.46 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

На перечисленное обратите внимание и по возможности исправьте.
 
Сверху Снизу