Решена Поиск хвостов после удаления майнера (john)

Статус
В этой теме нельзя размещать новые ответы.

k0sh

Новый пользователь
Сообщения
8
Реакции
0
Добрый день.

Воспользовался KMS auto и словил майнер. Компьютер начал сильно нагружаться, греться. При запуске диспетчера задач был секундный скачок нагрузки на ЦП до 100%. Через пару минут диспетчер задач закрывался сам по себе. При поиске информации по решению проблемы браузер так же закрывался сам по себе.

Нашёл ваш форум. Окольными путями (так как браузер закрывался на форуме) скачал AVbr. Программа тоже самостоятельно закрывалась. Удалось запустить через безлопастный режим.
В процессе работы AVbr был удалён пользователь john.
Сейчас всё работает в штатном режиме, но надеюсь получить помощь в поиске возможных хвостов майнера.
 

Вложения

  • CollectionLog-2022.11.15-15.19.zip
    61.1 KB · Просмотры: 9
  • AV_block_remove_2022.11.15-15.05.log
    5.2 KB · Просмотры: 2
Здравствуйте!

Опять запустите AVbr, но на этот раз из нормального режима.
После перезагрузки новый отчёт прикрепите к следующему сообщению.

Далее:
"Пофиксите" в HijackThis только строки:
Код:
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: Browserupdphenix - C:\Users\Очень Жаль\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=918E00C326A305AB065E7234248220B264473006F08377401AB2A43FA7CFFBC16E033541C964399C20799B7F24 --id=1 --sub-id=920 (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Здравствуйте.

Отчёты прикрепляю.
Строки в HijackThis пофиксил.
 

Вложения

  • Addition.txt
    41.7 KB · Просмотры: 10
  • FRST.txt
    38 KB · Просмотры: 10
  • AV_block_remove_2022.11.15-17.00.log
    3.9 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Profile 2 -> hxxp://mail.ru/cnt/10445?gp=811040
    CHR StartupUrls: Profile 2 -> "hxxp://mail.ru/cnt/10445?gp=811040"
    CHR HomePage: Profile 3 -> hxxp://mail.ru/cnt/10445
    CHR StartupUrls: Profile 3 -> "hxxp://mail.ru/cnt/10445","hxxp://do-search.com/?type=hp&ts=1431284260&z=20f865d36e5ea706efe0a4eg2z4c1gbofbez7o8w5b&from=cor&uid=ST1000LM002-9VQ14L_Z0502F5JXXXXZ0502F5J","hxxp://startface.net/"
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Направляю логфайл.
 

Вложения

  • Fixlog.txt
    17.8 KB · Просмотры: 10
Ещё один небольшой скрипт выполните.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|D:\
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\0338~1\AppData\Local\Temp\dControl.exe
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите что с проблемой.
 
Здравствуйте.

Прикрепляю лог-файл.
Проблем не наблюдается. Всё работает исправно.
 

Вложения

  • Fixlog.txt
    1.1 KB · Просмотры: 7
Выполните, пожалуйста, ещё раз этот же скрипт, только в безопасном режиме. Новый отчёт прикрепите.
 
Отчёт из безопасного режима.
 

Вложения

  • Fixlog.txt
    1.2 KB · Просмотры: 7
Спасибо, на этот раз успешно.

Как себя чувствует система сейчас?
 
Всё отлично работает. Спасибо за помощь!
 
Хорошо!

Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Направляю файл.
 

Вложения

  • SecurityCheck.txt
    7.3 KB · Просмотры: 2
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.12.0 (8964) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46542 Внимание! Клиент сети P2P с рекламным модулем!.


Читайте Рекомендации после удаления вредоносного ПО
 
Предполагаю, что на этом всё?)
Большое спасибо за оказанную помощь. Извиняюсь, что процесс растянулся на такой длительный срок по моей вине.
 
Да, это всё. Удачи и будьте здоровы!
 
  • Like
Реакции: k0sh
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу