Решена Помогите избавиться от майнера

Статус
В этой теме нельзя размещать новые ответы.

FellerPage

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте! Подцепил майнера Tool.BtcMiner.2660. Грузит цп, когда открываешь диспетчер задач - перестаёт. Не пускает на сайты с антивирусами и т.д. Чистил Dr. Web Cureit, находит, удаляет, но не надолго, через какое-то время или после перезагрузки возвращается. Сам файл который отображается при чистке WindowsHost.exe (хотя в диспетчере AppModule.exe)скрыт, при том что скрытые файлы и папки у меня видны. Нашёл ветку с таким же вирусом, скачал программу AV block remover, но она не запускается с ошибкой «Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору.». Пожалуйста помогите избавиться от вируса.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Утилиту нужно переименовать перед запуском.
 

FellerPage

Новый пользователь
Сообщения
9
Реакции
0
Утилиту нужно переименовать перед запуском.
Спасибо большое! Запустилась только в безопасном режиме после переименования. Вроде бы почистил, по крайней мере др веб его больше не находит.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
А вот теперь создавайте логи, будем чистить, зараз противная
 

FellerPage

Новый пользователь
Сообщения
9
Реакции
0
А вот теперь создавайте логи, будем чистить, зараз противная
 

Вложения

  • CollectionLog-2022.08.09-22.14.zip
    106.8 KB · Просмотры: 5

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

FellerPage

Новый пользователь
Сообщения
9
Реакции
0
@akok, есть такое)
 

Вложения

  • Addition.txt
    49.9 KB · Просмотры: 4
  • FRST.txt
    48.4 KB · Просмотры: 4

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,532
Реакции
6,596
А где лог AV block remover-а?
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,532
Реакции
6,596

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,532
Реакции
6,596
Пожалуйста, переместите AV block remover (AVbr) в папку в пути к которой нет пробелов и запустите её ещё раз. Свежий лог прикрепите.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,532
Реакции
6,596
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    2022-08-08 18:17 - 2022-08-08 18:17 - 000000000 ___HD C:\Users\John
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7506]
    AlternateDataStreams: C:\Users\vanya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\vanya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Как состояние системы?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,766
Реакции
14,255
Тогда финализируем.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу