Решена сильный и хитрый майнер Jhon

DSVR

Новый пользователь
Сообщения
6
Реакции
0
Удалил Jhon в безопасном режиме, что делать дальше подскажите пожалуйста?
 

Вложения

  • AV_block_remove_2023.01.23-21.22.log
    5.2 KB · Просмотры: 0

DSVR

Новый пользователь
Сообщения
6
Реакции
0
.
 

Вложения

  • FRST.txt
    55.1 KB · Просмотры: 2
  • Addition.txt
    63.1 KB · Просмотры: 2
  • AV_block_remove_2023.01.23-22.06.log
    3.9 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,999
Реакции
14,320
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    HKU\S-1-5-21-1203992447-914453389-3984894648-1001\...\Run: [utweb] => "C:\Users\micha\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
    Task: {7B7AA6C4-E538-40B6-9420-695FA473B9A4} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {C12E5322-7428-41DD-8AA4-2E58AE652350} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {E0CADD91-29EF-4A9E-9C73-E6D5A062C84D} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {DBCEA987-6A22-4654-B925-8C6129A16713} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (Нет файла)
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\rto-proxy.lnk:18082C260A [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word 2016.lnk:65270D1A26 [3442]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6058]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

DSVR

Новый пользователь
Сообщения
6
Реакции
0
Сделал как в одном из решенных постов с Jhon, Спасибо большое Администраторам и команде форума!
 

Вложения

  • Fixlog.txt
    4.4 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,999
Реакции
14,320
Скрипты пишутся индивидуально, в вашем случае найденный скрипт не поможет, нужно выполнить тот, что я подготовил.
 

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Скрипт отработал успешно. Проблема решена?
 
  • Like
Реакции: DSVR

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
Хорошо. В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

DSVR

Новый пользователь
Сообщения
6
Реакции
0
готово. еще раз спасибо!
 

Вложения

  • SecurityCheck.txt
    7.6 KB · Просмотры: 1

Sandor

Команда форума
Администратор
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
11,827
Реакции
3,055
------------------------------- [ Imaging ] -------------------------------
Picasa 3 v.3.9.141.259 Данная программа больше не поддерживается разработчиком.
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46590 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 93.0.4585.84 v.93.0.4585.84 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^


Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Сверху Снизу