Решена Скрытый майнер который закрывает браузер и проводник

N

Neko

Новый пользователь
Сообщения
8
Реакции
0
Добрый день! Поймал скрытый майнер, прогонял через DrWeb CureIt , но он его не обнаружил. При попытке установки AV block remover, AutoLogger и прочих подобных программ выдает различные ошибки, запускал от имени администратора, скриншоты прикрепил. Также закрывается браузер при открытии сайтов с антивирусами.
 

Вложения

  • скрин 2.png
    скрин 2.png
    42.3 KB · Просмотры: 37
  • скрин 1.png
    скрин 1.png
    35.5 KB · Просмотры: 38
Последнее редактирование:
В безопасном режиме запустите Autologger, предварительно разархивировав его не на Рабочий стол и не в папку Загрузки
 
Прикрепил лог
 

Вложения

  • CollectionLog-2023.06.05-23.24.zip
    61.3 KB · Просмотры: 2
Скачайте (в любую подпапку), распакуйте и запустите в безопасном режиме с поддержкой сети (от имени администратора) AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла

Запустите Autologger (уже в обычном режиме) и прикрепите новый CollectionLog.
 
Прикрепил логи
 

Вложения

  • CollectionLog-2023.06.06-16.00.zip
    72.4 KB · Просмотры: 1
  • AV_block_remove_2023.06.06-15.55.log
    10.5 KB · Просмотры: 2
Вы запустили AVbr из безопасного режима, но без поддержки сети.
Запустите его ещё раз из нормального режима и покажите новый отчёт.
 
Вот новые логи
 

Вложения

  • AV_block_remove_2023.06.06-19.05.log
    9.6 KB · Просмотры: 1
  • CollectionLog-2023.06.06-19.09.zip
    74.3 KB · Просмотры: 3
Хорошо. Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепил
 

Вложения

  • Addition.txt
    93.6 KB · Просмотры: 1
  • FRST.txt
    30.2 KB · Просмотры: 1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {367E72F4-66BD-435F-807A-A07562496C49} - System32\Tasks\Eventer utilityS-1-5-21-3909021311-2010930312-1370794703-1000 => C:\Users\User\AppData\Local\Mail.Ru\Atom\Application\eventer.exe  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3909021311-2010930312-1370794703-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3909021311-2010930312-1370794703-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
2023-05-28 17:37 - 2023-05-28 17:37 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-28 17:37 - 2023-05-28 17:37 - 000000000 __SHD C:\Program Files\RogueKiller
AlternateDataStreams: C:\Windows:AstInfo [0]
AlternateDataStreams: C:\ProgramData\TEMP:C8B8CEBD [137]
FirewallRules: [{F51F5B4C-4C6D-4300-BDE2-4FDB909EF1FC}] => (Allow) LPort=1688
FirewallRules: [{428435B0-0416-47B2-9E47-DE6001BDF289}] => (Allow) D:\DriverPack_17.10.14-20051\bin\tools\aria2c.exe => Нет файла
FirewallRules: [{844A93CB-091B-4245-9E9F-364EFFACFB27}] => (Allow) C:\Users\User\AppData\Local\Mail.Ru\Atom\Application\atom.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Сделал
 

Вложения

  • Fixlog.txt
    7.5 KB · Просмотры: 1
Хорошо. В итоге - проблема решена?
 
Спасибо огромное! Проблема действительно решена.
 
Отлично! В завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Прикрепил
 

Вложения

  • SecurityCheck.txt
    11.1 KB · Просмотры: 2
Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.2 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - en-us v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - en-us.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Professional Plus 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 9.20 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
WinRAR 5.01 (32-разрядная) v.5.01.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Zoom v.5.9.7 (3931) Внимание! Скачать обновления
Viber v.13.6.0.58 Внимание! Скачать обновления
Telegram Desktop v.4.5.3 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
AIMP3 v.v3.55.1355, 14.07.2014 Внимание! Скачать обновления
K-Lite Codec Pack 14.8.8 Full v.14.8.8 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.19.008.20081 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^


Читайте Рекомендации после удаления вредоносного ПО
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу