Решена Скорее всего майнер

bodee

Новый пользователь
Сообщения
10
Реакции
0
Доброго времени суток. Вчера столкнулся с проблемой, что начал закрываться диспетчер задач и браузер при наборе текста "как удалить майнер". Сразу побежал скачивать dr web cureit и он выдал такие файлы: Trojan.autolt.1224, Trojan.Downloader, Tool.Btcmine.2733, Trojan.packed.45826, Trojan.packed.45827, Program.remoteads, Program.Rdpwrap, Trojan.Siggen24.13363, BAT.AVkill.37. Сразу начал подозревать кмс который скачал недавно для офиса и удалил все файлы которые нашел dr.web, симптомы с браузером и диспетчером задач прошли, но на утро обнаружил, что стала долго загружаться панель задач (примерно 2 минуты после включения компьютера) я скачал Kaspersky Virus Removal Tool и удивился когда было отказано в запуске, переименовал и запустил, то что он нашел прикреплю к сообщению. Я так же удалил эти файлы и состояние на сейчас:
1) При открытии диспетчера задач на секунду видно, что цп загружен на 100% и сразу падает до 5-6% грузит задача "системные прерывания"
2) Закрытия браузера и диспетчера прекратились
3) Перестала работать программа Sony Vegas при попытке рендера (переустановка не помогла)
Прошу помощи так как компьютеру только месяц, заранее извиняюсь за возможные уточнения в будущем, так как не очень разбираюсь в удалении вирусов. Спасибо

 

Вложения

  • photo_2024-02-08_18-19-43.jpg
    photo_2024-02-08_18-19-43.jpg
    307.6 KB · Просмотры: 3
  • photo_2024-02-08_18-19-45.jpg
    photo_2024-02-08_18-19-45.jpg
    325.2 KB · Просмотры: 2
  • CollectionLog-2024.02.08-17.49.zip
    87.1 KB · Просмотры: 1
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
 
Добрый вечер, вот
 

Вложения

  • AV_block_remove_2024.02.09-19.28.log
    10.2 KB · Просмотры: 4
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
вот, пожалуйста
 

Вложения

  • Addition.txt
    42.3 KB · Просмотры: 1
  • FRST.txt
    26.5 KB · Просмотры: 2
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После примените твики из вложения (для каждой службы), после соберите новые логи FRST
 

Вложения

  • 10.zip
    5.7 KB · Просмотры: 3
Извините за долгий ответ, вот логи после действий fix, но я немного не понял про "твики" их просто распаковать и запустить?
 

Вложения

  • Fixlog.txt
    3.2 KB · Просмотры: 2
но я немного не понял про "твики" их просто распаковать и запустить?
верно

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2024-01-01] (Microsoft Windows -> Microsoft Corporation)
    S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2024-01-01] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-01-01] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2024-01-01] (Microsoft Windows -> Microsoft Corporation)
    StartPowerShell:
    Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
    Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe"
    Remove-MpPreference -ExclusionPath "C:\Windows\System32\SppExtComObjPatcher.exe"
    Remove-MpPreference -ExclusionPath "C:\Windows\System32\SppExtComObjHook.dll"
    Remove-MpPreference -ExclusionPath "C:\Users\Windows\AppData\Local\Temp\dControl.exe"
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
просто распаковать и запустить?
После этого и после перезагрузки:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 
Здравствуйте, вот логи после применения твики
 

Вложения

  • Addition.txt
    41.9 KB · Просмотры: 1
  • FRST.txt
    24.7 KB · Просмотры: 1
Вот лог файл после выполнения скрипта
 

Вложения

  • Fixlog.txt
    3.4 KB · Просмотры: 1
Вот файл после сканирования
 

Вложения

  • FSS.txt
    2.6 KB · Просмотры: 1
Ещё один скрипт выполните, пожалуйста, в безопасном режиме.

  • Выделите следующий код:
    Код:
    Start::
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions|.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Users\Windows
    DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\system32\config\systemprofile
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
вот
 

Вложения

  • Fixlog.txt
    2.9 KB · Просмотры: 1
Хорошо. Проблема решена?
 
Здравствуйте, большое спасибо. Все проблемы ушли, панель задач начала загружаться сразу, сони вегас безупречно работает. Вы спасли мой компьютер! И последний вопрос, в случаях с майнером помогает ли переустановка виндовс?
 
Проделайте завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

в случаях с майнером помогает ли переустановка виндовс?
Обычно да. Проблема в другом: если активация системы производится нелегальным активатором, в этот момент и происходит заражение.
Именно этот майнер как правило так и попадает в систему, конечно, при отключенной защите.
 
Спасибо за ответ, вот лог
 

Вложения

  • SecurityCheck.txt
    6.5 KB · Просмотры: 3
Исправьте по возможности:

Discord v.1.0.9028 Внимание! Скачать обновления
µTorrent v.3.6.0.47006 Внимание! Клиент сети P2P с рекламным модулем!.
Opera Stable 106.0.4998.70 v.106.0.4998.70 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

Читайте Рекомендации после удаления вредоносного ПО
 
Назад
Сверху Снизу