Решена Пойман майнер. После переустановки ОС - остается

[drophils]

Добрый день ребят. Проблема такова:

1) В Диспетчере задач нагружает все элементы на 100% программа - AMD.exe
2) Переходя в его расположение, можно увидеть, что путь: C - programdata - windowstask (дальше краш)
3) Закрываются все вкладки с антивирусами. Не могу даже создать логи как написано у вас.
4) После переустановки ОС и сноса всех данных с ЖД/СДД дисков - майнер на месте
5) Получилось скачать только dr.web cureit, он его нашел. Но не может удалить.
6) Вирусы называются Trojan.Host.51189, Tool.BtcMine.2711

Прикрепляю txt лог от cureit. Так как больше ничего скачать не могу...
Пути:
1) C:\ProgramData\WindowsTask\MicrosoftHost.exe
2) C:\Windows\system32\drivers\etc\host
Жду вашей помощи!

 

[drophils]

Не могу найти ни host, ни WindowsTask - вирус прячет. Помогите умоляю
Уже 2 раза переустанавливал ОС, проблема остается. Флешки даже менял.
Понял что вируса во флешках нет. Это он каким-то образом остается в ПК

 

[drophils]

dr.web находит этот майнер с трояном, пишет что удалил.
но все в таком-же плачевном состоянии

 

[drophils]

Удалось скачать AVBr. Скачал от вас тут . После зашел в безопасный режим, он все проверил. Нашел пользователя John, удалил его и перезагрузился.
Сейчас нет проблем с закрытием вкладок и антивирусы все качаются. Вот это повезло....

 

[drophils]

Вот лог от AVBr

 

[drophils]

Теперь смог скачать AutoLogger. Вот логи от него

 

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10
Кнопка "Яндекс" на панели задач

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Запустите ещё раз AVbr из нормального режима и после перезагрузки прикрепите его новый отчёт.
Соберите также новый CollectionLog.

 

[drophils]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:


Файл CheckBrowserLnk.log
из папки
перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Запустите ещё раз AVbr из нормального режима и после перезагрузки прикрепите его новый отчёт.
Соберите также новый CollectionLog.

Прилагаю все вами запрошенные файлы

 

[drophils]

C:\Windows\System32\drivers\etc\host - появился
C:\ProgramData\WindowsTask - не появился

 

[Sandor]

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижем поле быстрого ответа.

"Пофиксите" в HijackThis только следующие строки:

O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O22 - Tasks: \Microsoft\Windows\Wininet\1Hour - C:\Programdata\Setup\Game.exe -ppidar (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\OnReboot - C:\Programdata\Setup\Game.exe -ppidar (file missing)
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\taskkill.exe (Microsoft)
O26 - Debugger: HKLM\..\'CompatTelRunner.exe': [Debugger] = C:\Windows\System32\taskkill.exe (Microsoft)
O26 - Debugger: HKLM\..\DeviceCensus.exe: [Debugger] = C:\Windows\system32\taskkill.exe (Microsoft)
O26 - Debugger: HKLM\..\'DeviceCensus.exe': [Debugger] = C:\Windows\System32\taskkill.exe (Microsoft)
O26 - Debugger: HKLM\..\OneDrive.exe: [Debugger] = Blocked (file missing)
O26 - Debugger: HKLM\..\OneDriveSetup.exe: [Debugger] = Blocked (file missing)
O26 - Debugger: HKLM\..\OneDriveStandaloneUpdater.exe: [Debugger] = Blocked (file missing)
O26 - Debugger: HKLM\..\SecHealthUI.exe: [Debugger] = C:\Windows\system32\taskkill.exe (Microsoft)

Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[drophils]

Готово!

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Driver Booster 10

Напоминаю второй раз.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-4172885611-3319554660-1756887030-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  Unlock: C:\ProgramData\Doctor Web
  Unlock: C:\Program Files\DrWeb
  Unlock: C:\Program Files\Common Files\Doctor Web
  FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-05-29] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  FirewallRules: [{B9327F42-2D14-4D01-9DCE-EAF39B8CE93B}] => (Allow) LPort=32683
  FirewallRules: [{FBD6A27F-DAED-4BEA-A94A-F82574092B8D}] => (Allow) LPort=26822
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[drophils]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Он удален, остался только ярлык, который никак не удалить.

 

[drophils]

Программа создаст лог-файл (Fixlog.txt).

 

[drophils]

Теперь появились такие проблемы:

1) В панели задач (внизу), очень часто выскакивает прозрачное окошко и закрывается (и так раз 5). Если играть в игры и оно выскакивает, то игра резко сворачивается на рабочий стол.
2) Не могу теперь заново скачать DriverBooster (пишет: отказано в доступе)
3) Не могу обновить/установить драйвера (с интернета)
4) USB устройства некорректно отображаются (не все)
5) Мой itunes перестал видеть мой iphone и синхронизоваться с ним

 

[akok]

2. Вам и смысле нет качать. Мусор.


По остальному, нужен свежие логи FRST, посмотрим

 

[drophils]

3) Не могу обновить/установить драйвера (с интернета)
4) USB устройства некорректно отображаются (не все)
5) Мой itunes перестал видеть мой iphone и синхронизоваться с ним

Итог: компьютер запрещает автообновление драйверов
Нашел в интернете драйвер для apple и кое-как установил, проверил через "VirosTotal", он впорядке
Загрузил драйвер и теперь все пашет.

 

[akok]

с этим нужно разобраться как раз.

 

[drophils]

Жду помощи <3

 

[drophils]

2. Вам и смысла нет качать. Мусор.

Есть что-то аналогичное? Как по мне, DriverBooster среди всех, самый лучший был...