Решена Скачал с торрента файл, и в компе появились какие то майнинг вирусы.

Статус
В этой теме нельзя размещать новые ответы.
X

xenesi1974

Новый пользователь
Сообщения
10
Реакции
0
Здравствуйте!
Вирусы утилитой доктор веб не удаляются, она их находит (удаляю их), комп перезагружается и опять появляются. У вас на форуме нашел похожую тему.
У меня сначала не запускалась ваша утилита, писало что нету прав для ее запуска. Я ее запустил в безопасном режиме, она запустилась начала проверку и при нахождении файла hots где вылазит окно да-нет-игнорировать компьютер начинает перезагружаться и так каждый раз. Подскажите что можно сделать
 
Первым шагом нужно попробовать собрать логи.
www.safezone.cc

Правила оформления запроса о помощи

FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
www.safezone.cc www.safezone.cc
 
Сделал
 

Вложения

  • CollectionLog-2022.07.15-23.37.zip
    58.9 KB · Просмотры: 10
Перезагрузка зашита в утилите, это штатное поведение ABVR

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe','');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe','64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сделал
 

Вложения

  • Addition.txt
    68.9 KB · Просмотры: 9
  • FRST.txt
    30.9 KB · Просмотры: 8
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3565476251-1069233111-3401838239-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-3565476251-1069233111-3401838239-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2022-07-15 15:31 - 2022-07-15 15:31 - 000000000 ___HD C:\Users\John
AlternateDataStreams: C:\Users\xenesi\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\xenesi\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{2EE3D818-1751-48D6-873B-547A9E1DCDF5}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{545F3342-6C80-4D33-973D-44589877534D}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделал
 

Вложения

  • Fixlog.txt
    3.4 KB · Просмотры: 8
Проверяйте, что с проблемой сейчас. Все ли работает.
 
Ну сейчас вроде норм, но так стало еще до того как я по похожей теме у Вас на форуме делал. В безопасном режиме запустил AV block remover (он он выключается и перезагружает комп когда находит файл хотс). Не понятные процессы пропали, комп как раньше работает, да и утилита доктора веба больше не находит эти вирусники майнинга
 
xenesi1974 написал(а):
Ну сейчас вроде норм, но так стало еще до того как я по похожей теме у Вас на форуме делал. В безопасном режиме запустил AV block remover (он он выключается и перезагружает комп когда находит файл хотс).
Нажмите для раскрытия...
В смысле выключается? И если вы один раз согласились hosts исправить, то второй раз уже не должен на него реагировать. Можете его лог прикрепить?
 
Последнее редактирование:
Если вы скажите как мне его лог вам скинуть. Я в таком не особо разбираюсь
 
xenesi1974 написал(а):
Если вы скажите как мне его лог вам скинуть. Я в таком не особо разбираюсь
Нажмите для раскрытия...
Читаем описание утилиты
В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
- AV_block_remove_дата-время.log - лог работы утилиты.
Нажмите для раскрытия...
 
Вот лог
 

Вложения

  • AV_block_remove_2022.07.16-11.02.log
    4.2 KB · Просмотры: 4
Зайдите в папку C:\Windows\System32\drivers\etc
Скопируйте, заархивируйте и пришлите файл "hosts" и скорее всего там будет рядом ещё один "Дата_hosts.bak" его тоже.
 
Последнее редактирование:
Сделал
 

Вложения

  • 2022-07-16_11-02_hosts.rar
    568 байт · Просмотры: 2
  • hosts.rar
    547 байт · Просмотры: 9
Спасибо, добавлю этот случай. Только не понятно, то ли у вас не смогло сбросить hosts, то ли что-то из вашего софта его обратно восстанавливает. Хотелось бы дополнительно проверить.
Просьба запустите AVZ от правой кнопкой от имени администратора и выполните в нём скрипт в AVZ:
Код: 
var Hosts: string;
FileList : TStrings;
begin
 Hosts := GetAVZDirectory + 'Hosts\';
 CreateDirectory(Hosts);
 AddLineToTxtFile(GetHostsFileName, '127.0.0.1       test');
 CopyFile(GetHostsFileName, Hosts+'hosts1.bak');
 ExecuteRepair(13);
 CopyFile(GetHostsFileName, Hosts+'hosts2.bak');
 FileList := TStringList.Create;
 FileList.Add(Hosts+'hosts1.bak');
 FileList.Add(Hosts+'hosts2.bak');
 ZIP_CreateArchive(GetAVZDirectory + 'hosts.zip', FileList, nil);
 FileList.Free;
end.
После его выполнения в папке с AVZ будет создан архив 'hosts.zip', просьба прикрепите его к сообщению.
 
Последнее редактирование:
Сделал
У меня из софта особо ничего нету (автокад и айтюнс, который ни разу не запускался)
 

Вложения

  • hosts.zip
    1.1 KB · Просмотры: 8
Последнее редактирование:
В любом случае проблема уже должна быть исправлена. Просьба скачайте свежую версию AVbr и перепроверьте.
 
А можно ссылочку на свежую версию AVbr?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу