Решена Как удалить майнер с помощью AV block remover?

Статус
В этой теме нельзя размещать новые ответы.

0ooproo0

Новый пользователь
Сообщения
6
Реакции
1
Вчера вечером поймал майнер с закрытием браузера при попытке найти помощь, закрытием диспетчера задач и тд.
Следуя инструкции отсюда: AV block remover (AVbr) запустил скрипт и майнер удалился.
По рекомендации пишу на этот форум
 

Вложения

  • CollectionLog-2022.09.06-02.07.zip
    116.8 KB · Просмотры: 3
  • AV_block_remove_2022.09.06-01.22.log
    11.3 KB · Просмотры: 3
Здравствуйте!

1.
Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

2. Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Спасибо за ответ!
 

Вложения

  • ClearLNK-2022.09.06_11.39.06.log
    24.2 KB · Просмотры: 1
  • Addition.txt
    124.1 KB · Просмотры: 2
  • FRST.txt
    69.7 KB · Просмотры: 2
Деинсталлируйте нежелательное ПО:
Driver Booster 8
Кнопка "Яндекс" на панели задач

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {5caa2900-0358-11ed-a763-d8cb8a55509a} - "E:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {657daab8-6425-11ea-a66c-d8cb8a55509a} - "E:\setup.exe" 
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {657daac8-6425-11ea-a66c-d8cb8a55509a} - "H:\setup.exe" 
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {7c03be52-f18b-11ec-a73c-d8cb8a55509a} - "E:\setup.exe" 
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {c5e45e2b-8410-11ec-a6f9-d8cb8a55509a} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\...\MountPoints2: {f483ae20-041b-11ed-a765-d8cb8a55509a} - "E:\Lenovo_Suite.exe" 
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Task: {51E0F650-84A4-40E5-B4DD-AF80AA1A9FFF} - System32\Tasks\НЕ ЗАБЫВАЙ => C:\Users\lokat\OneDrive\Desktop\НЕ_ЗАБЫВАЙ.txt (Нет файла)
    C:\Users\lokat\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\lokat\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    C:\Users\lokat\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKU\S-1-5-21-2848743973-4104304903-1871430988-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
    AlternateDataStreams: C:\ProgramData\merjmevq.cmt:65433143E6 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc:B50D3D4D91 [2594]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\PDFMaster.lnk:861AFB52B3 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Audition 2020.lnk:4A60183FC1 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [2594]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [10]
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Скрипт может выполняться долго, дождитесь окончания.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделал
 

Вложения

  • Fixlog.txt
    25.7 KB · Просмотры: 2
Эти две папки находятся в исключениях Защитника
C:\Users\lokat\.PyCharmCE2019.3\system
C:\Users\lokat\PycharmProjects\Обучение
Если добавляли самостоятельно, хорошо. Если нет, удалите.

В целом, проблема была решена применением AVbr, мы только дочистили некоторый мусор.
Сообщите о состоянии и будут финальные рекомендации.
 
Да, это мои папки
Состояние компьютера нормальное, без проблем с момента использования AVbr
 
Хорошо. Да, и скриптом ещё было это:
Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

Завершаем:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделал
 

Вложения

  • SecurityCheck.txt
    14.3 KB · Просмотры: 2
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.22 v.6.1.22 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.5.70 v.3.20.5.70 Внимание! Скачать обновления
Python 3.8.0 (32-bit) v.3.8.150.0 Внимание! Скачать обновления
FileZilla Client 3.51.0 v.3.51.0 Внимание! Скачать обновления
Wireshark 2.6.6 64-bit v.2.6.6 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.71 (64-разрядная) v.5.71.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
WhatsApp v.2.2218.8 Внимание! Скачать обновления
Zoom v.5.6.1 (617) Внимание! Скачать обновления
Telegram Desktop version 3.7.3 v.3.7.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.0.5 Внимание! Клиент сети P2P с рекламным модулем!.
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Viewer 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
-------------------------------- [ Java ] ---------------------------------
Java SE Development Kit 8 Update 212 (64-bit) v.8.0.2120.10 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-18_windows-x64_bin.exe).
------------------------------- [ Browser ] -------------------------------
Yandex v.22.3.2.644 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera GX Stable 71.0.3770.456 v.71.0.3770.456 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Driver Booster 8 v.8.1.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
UmmyVideoDownloader v.1.10.7.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!


По возможности исправьте указанное и читайте Рекомендации после удаления вредоносного ПО
 
Большое спасибо за выделенное время
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу