Решена Понимаю, что наплыв тем по этому поводу большой, но у меня тоже майнер.

Статус
В этой теме нельзя размещать новые ответы.

Rivia

Новый пользователь
Сообщения
13
Реакции
2
Майнер под видом RealtekHD. Сделал удаление в regedit на запрет запуска антивирусов, но ни один почти не помог. А AVbr я скачать не могу, выходит "404 not found" при переходе на сайт скачивания, а в старых темах старая версия, при запуске выходит "установите свежую версию" и выключается. Мне просто необходимо скачать работающий антивирус против этого майнера.
Симптомы: выключает диспетчер, закрывает папку, где этот вирус хранится, в простое идет большая нагрузка (при движении мышкой вроде лаги отходят).
Пишите, что делать, что прикреплять, всё сделаю.
 

Вложения

  • CollectionLog-2022.12.20-16.58.zip
    146.2 KB · Просмотры: 6
Последнее редактирование:
Здравствуйте!

Залил на облако.

Инструкция:
Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 
  • Like
Реакции: akok
Был найден пользователь John, удалён. Процесс RealtekHD не наблюдаю в диспетчере, в планировщике тоже ничего нет.

Хотел отредактировать hosts, так как там торренты fitgirl. Нашёл также в hosts ip в формате "8.8.8.8 kaspersky.ru" на все антивирусные известные сайты, эти строчки были удалены.
Оставил только эти. Они безопасны и я так понял к вирусу не имеют отношения?
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
109.94.209.70 fitgirlrepacks.in # Fake FitGirl site
109.94.209.70 fitgirlrepacks.co # Fake FitGirl site
109.94.209.70 fitgirl-repacks.cc # Fake FitGirl site
109.94.209.70 fitgirl-repacks.to # Fake FitGirl site
109.94.209.70 fitgirl-repack.com # Fake FitGirl site
109.94.209.70 fitgirl-repacks.website # Fake FitGirl site
109.94.209.70 fitgirlrepack.games # Fake FitGirl site
109.94.209.70 fitgirlrepacks.co # Fake FitGirl site
109.94.209.70 fitgirl-repacks.cc # Fake FitGirl site
109.94.209.70 fitgirl-repacks.to # Fake FitGirl site
109.94.209.70 fitgirl-repack.com # Fake FitGirl site
109.94.209.70 fitgirl-repacks.website # Fake FitGirl site
109.94.209.70 ww9.fitgirl-repacks.xyz # Fake FitGirl site
109.94.209.70 fitgirlrepack.games # Fake FitGirl site
109.94.209.70 *.fitgirl-repacks.xyz # Fake FitGirl site
109.94.209.70 fitgirl-repacks.xyz # Fake FitGirl site
109.94.209.70 fitgirl-repack.net # Fake FitGirl site
109.94.209.70 fitgirl-repack.net # Fake FitGirl site
109.94.209.70 fitgirlpack.site # Fake FitGirl site
109.94.209.70 fitgirlpack.site # Fake FitGirl site
109.94.209.70 fitgirl-repack.org # Fake FitGirl site
109.94.209.70 .fitgirl-repack.org # Fake FitGirl site
 

Вложения

  • CollectionLog-2022.12.20-17.27.zip
    141.5 KB · Просмотры: 7
Последнее редактирование:
Эти строки - следы другого вредоноса, нужно было полную очистку делать.
Не страшно, очистим скриптом.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
MediaGet
Java 8 Update 51 (64-bit) - устаревшая уязвимая версия

Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Удалил MediaGet, удалил старую версию явы, установил 8ю версию, апдейт 351.

Да, извините, забыл. Сейчас сделаю следующие шаги.
 

Вложения

  • AV_block_remove_2022.12.20-17.20.log
    4.4 KB · Просмотры: 2
AVbr запускали несколько раз?
 
Прикрепил файлы с FarBar.

Я запускал её 3 раза, но у меня 5 логов, не знаю, почему так.
Запускал второй раз, потому что после сканирования был ребут системы, а я не успел hosts отредактировать. Пришлось отменять ребут и запускать AVbr ещё раз. Затем уже всё как по инструкции. Но почему 5 логов при трёх сканированиях - неизвестно.
 

Вложения

  • FRST.txt
    60.8 KB · Просмотры: 6
  • Addition.txt
    111 KB · Просмотры: 5
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-1389091493-3728430845-3918481589-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    CHR HKU\S-1-5-21-1389091493-3728430845-3918481589-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`pgyjhioihinfh [0]
    Hosts:
    FirewallRules: [{CFBE5816-9AD8-47AD-993F-8093C8E281CA}] => (Allow) C:\Users\Ильяс\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{830C56D5-4F66-416C-B7F8-85143094DF8C}] => (Allow) C:\Users\Ильяс\MediaGet2\mediaget.exe => Нет файла
    FirewallRules: [{71E07EE6-382D-4BC0-812A-B369D5AF35ED}] => (Allow) C:\Users\Ильяс\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{CFBF1402-7589-4CB2-B24F-58857E2428EB}] => (Allow) C:\Users\Ильяс\MediaGet2\QtWebEngineProcess.exe => Нет файла
    FirewallRules: [{E385D44E-E38C-4335-9935-C55302237CAD}] => (Allow) LPort=1688
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделал.
 

Вложения

  • Fixlog.txt
    6.1 KB · Просмотры: 4
Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Сделал.
 

Вложения

  • SecurityCheck.txt
    11.3 KB · Просмотры: 7
Понимаю, что, возможно, проблема уже не по теме, но после лечения и всех проделанных работ у меня отключается ПК, будто бы перегрев или отвалился процессор, видеокарта, во время захода в любую игру. ПК работает, а монитор нет. Просто так в браузере тоже отключился. Если это не связано с вредоносным ПО, то проблему напишу в другом месте.
 
Насчёт отключения ПК после лечения: проблема решена, пришлось перезапустить пару раз, аппаратная проблема.
Насчёт майнера: проблема решена, надеюсь, что хвостов не осталось. Жду вашей дальнейшей проверки последнего файла и тему можно закрывать, я думаю.
 
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.8.2 Внимание! Скачать обновления
Git v.2.33.0.2 Внимание! Скачать обновления
Oracle VM VirtualBox 6.1.16 v.6.1.16 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR archiver Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Telegram Desktop v.4.3.2 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.3.0 Full v.17.3.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 93.0.4585.52 v.93.0.4585.52 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.92 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Razer Cortex v.10.4.7.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


По возможности исправьте перечисленное.
Читайте Рекомендации после удаления вредоносного ПО
 
AMD Software обновлён
Oracle VM VirtualBox обновлён
WinRAR archiver обновлён
Discord обновлён
Telegram Desktop не нуждается, не пользуюсь
K-Lite Codec Pack обновлён
Opera GX Stable обновляется сам
CCleaner v.5.92 удалён
Razer Cortex - игровая утилита для игрового режима

По рекомендациям:
точка доступа создана, старая удалена. Закачал на всякий случай IObit Malware Fighter.

Благодарю!​

 
Закачал на всякий случай IObit Malware Fighter.
Вот это было лишнее :)
Программы от производителя IObit считаются (обоснованно) нежелательным ПО.

Установите один из знакомых и незапятнанных антивирусов, можно бесплатный.
Или оставайтесь с Защитником, но соблюдайте финальные рекомендации.
 
Ну, я его удалил, и скачал тогда Avira. Он у вас в перечне присутствует)
 
В общем половину в перечне скачать нельзя странам СНГ и Беларуси, отозвался только Comodo. Спасибо за помощь!
 
Любопытно, почему не остановились на антивирусе Касперского?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу