Здравствуйте, поймал майнер и не понимаю как до конца удалить. Плохо разбираюсь поэтому делал всё подряд. Смог по инструкциям запустить Avbr. Появилась возможность устанавливать антивирусы и перестал нагружаться пк. DrWeb пишет что все чисто, но я вижу в диспетчере задач Runtime Broker. Запускал Autologer. Пытался удалить в реестре в ручную но не получилось. Служба SysMain стала нагружать память в диспетчере на 200мб (раньше такого не было). Компьютер больше не перезагружаю, чтобы не начинать всё заново, весь день повторял эти действия по кругу. Заранее спасибо!!
Решена поймал майнер троян Runtime Broker, XtuService, COM Surrogate.
Переводчик Google
- Статус
- Сообщения
- 17,448
- Решения
- 5
- Реакции
- 3,689
Здравствуйте!
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
QuarantineFile('C:\Program Files\google\chrome\updater.exe', '');
DeleteSchedulerTask('RunGame');
DeleteSchedulerTask('EdgeUpdate');
DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.Компьютер перезагрузится.
Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Последнее редактирование:
- Сообщения
- 17,448
- Решения
- 5
- Реакции
- 3,689
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKU\S-1-5-21-3844802923-1305805655-1189369810-1001\...\MountPoints2: {1d62c0f9-aeb0-11ea-aced-7824af327d39} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3844802923-1305805655-1189369810-1001\...\MountPoints2: {32b0fbe5-8d22-11ea-acd0-7824af327d39} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3844802923-1305805655-1189369810-1001\...\MountPoints2: {87f7a879-88ef-11ea-acd0-7824af327d39} - "E:\HiSuiteDownLoader.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-3844802923-1305805655-1189369810-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [imhlianhlhdicjchlbmbfaefhhjencbe] S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X] <==== ВНИМАНИЕ 2024-12-16 23:39 - 2024-12-16 23:39 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll 2024-12-18 12:34 - 2024-09-19 17:16 - 000000000 ____D C:\Program Files\Client Helper ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490] AlternateDataStreams: C:\Users\User\ntuser.ini:NTV [8734] FirewallRules: [{7114631F-7218-4A1F-B4DC-54ABC4B269B2}] => (Allow) LPort=3306 FirewallRules: [{B708E714-5F8F-40BD-8DD6-29CD498AE2A2}] => (Allow) LPort=33060 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
извиняюсь, сделал не по инструкции. Ожидал что после "Исправить" будет окно куда можно будет вставить код, но оказалось нужно документ отдельно создать. После перезагрузки началась повторная непредвиденная перезагрузка из-за проблем с дравейрами. Иногда у меня такое происходит, фиксил только удалением драйверов, но это мешает другим программам (информация чисто чтобы было понимание, вдруг это на что-то влияет). Нужно ли повторно сделать эту операцию только уже со скриптом? Лог тоже прикрепляю
Вложения
- Сообщения
- 17,448
- Решения
- 5
- Реакции
- 3,689
Нет, не нужно. Скрипт был выполнен из буфера обмена.
В остальном как сейчас ведёт себя система?
Чтобы с этим разобраться, создайте отдельную тему в этом разделе форума.
В остальном как сейчас ведёт себя система?
- Сообщения
- 17,448
- Решения
- 5
- Реакции
- 3,689
Это нормальные системные процессы.
В завершение здесь:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
В завершение здесь:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
- Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
- Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
- Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
- Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
- Прикрепите этот файл к своему следующему сообщению.
- Сообщения
- 17,448
- Решения
- 5
- Реакции
- 3,689
Исправьте по возможности:
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Так ли страшен Контроль учётных записей
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
AnyDesk v.ad 8.0.10 Внимание! Скачать обновления
Microsoft Office Профессиональный плюс 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
7-Zip 22.01 (x64 edition) v.22.01.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.8070 Внимание! Скачать обновления
WhatsApp (Outdated) v.2.2323.4 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
Skype, версия 8.78 v.8.78 Внимание! Скачать обновления
µTorrent v.3.4.2.31661 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 341 (64-bit) v.8.0.3410.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Codec Pack 15.1.6 Full v.15.1.6 Внимание! Скачать обновления
Adobe Creative Cloud v.5.5.0.617 Внимание! Скачать обновления
Opera GX Stable 114.0.5282.233 v.114.0.5282.233 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.23.1.4.782 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ByteFence Anti-Malware v.2.1.8.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Cortex v.9.11.1001.1292 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Читайте Рекомендации после удаления вредоносного ПО
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Так ли страшен Контроль учётных записей
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
AnyDesk v.ad 8.0.10 Внимание! Скачать обновления
Microsoft Office Профессиональный плюс 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
7-Zip 22.01 (x64 edition) v.22.01.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.0.0.309 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.8070 Внимание! Скачать обновления
WhatsApp (Outdated) v.2.2323.4 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Zoom v.5.15.7 (20303) Внимание! Скачать обновления
Skype, версия 8.78 v.8.78 Внимание! Скачать обновления
µTorrent v.3.4.2.31661 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 341 (64-bit) v.8.0.3410.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Codec Pack 15.1.6 Full v.15.1.6 Внимание! Скачать обновления
Adobe Creative Cloud v.5.5.0.617 Внимание! Скачать обновления
Opera GX Stable 114.0.5282.233 v.114.0.5282.233 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.23.1.4.782 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.3.7.7.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ByteFence Anti-Malware v.2.1.8.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Cortex v.9.11.1001.1292 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Читайте Рекомендации после удаления вредоносного ПО
- Статус