Решена Скрытый майнер

[Leks]

Скрытый майнер/вирус самовосстанавливаются
папка ProgramData закрывается при открытии

 

[Leks]

скан

 

[Leks]

новый скан.
пошарился сам но не уверен что все удалил
использовал вот эту статью:

Спойлер: Пост

Ðак ÑдалиÑÑ ÑкÑÑÑÑй майнеÑ

Автор: 10ner

pikabu.ru

 

[Sandor]

Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером из нормального режима по правилам - Правила оформления запроса о помощи

 

[Leks]

вот

 

[akok]

AV_block_remove_дата-время.log,

А куда потеряли? Тем более судя по логам вы утилиту и не запускали.

 

[Leks]

Вот извиняюсь не правильно использовал

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Leks]

вот

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {E0CFCE49-9EA9-4B49-96F8-BC52F39D35E4} - System32\Tasks\Microsoft\Windows\WindowsBackup\RecoveryManager => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
  ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Нет файла
  AlternateDataStreams: C:\Users\Leks23\Application Data:4e35b1dc8c9945c0350efa7d3f4e737d [394]
  AlternateDataStreams: C:\Users\Leks23\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\Leks23\Application Data:ed34bb19b9b8add2cf59465df23aef41 [394]
  AlternateDataStreams: C:\Users\Leks23\AppData\Roaming:4e35b1dc8c9945c0350efa7d3f4e737d [394]
  AlternateDataStreams: C:\Users\Leks23\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
  AlternateDataStreams: C:\Users\Leks23\AppData\Roaming:ed34bb19b9b8add2cf59465df23aef41 [394]
  FirewallRules: [{6DCF7DFD-3EFF-49A5-8AC3-C2EED15779D8}] => (Allow) LPort=80
  FirewallRules: [{DD3D940D-6176-4C69-B906-AD6A7F33A6DF}] => (Allow) LPort=443
  FirewallRules: [{216E26D7-0ABF-4F07-8A93-B2999214E717}] => (Allow) LPort=20010
  FirewallRules: [{997ED638-CE18-4CBA-9914-516B3BC98757}] => (Allow) LPort=3478
  FirewallRules: [{DC37B7DD-C14B-4905-BC6A-464BBF54F805}] => (Allow) LPort=7850
  FirewallRules: [{352A81FF-2259-438F-91F7-82A7ABFAC25F}] => (Allow) LPort=7852
  FirewallRules: [{965BF62D-615E-4A0E-BBBA-2050F860C78B}] => (Allow) LPort=7853
  FirewallRules: [{93F3E3DA-A1F3-4121-B3F7-7E077CEC4D65}] => (Allow) LPort=27022
  FirewallRules: [{AC87480C-3974-4A0B-A6CE-76DC704BB69D}] => (Allow) LPort=6881
  FirewallRules: [{CD01DB2E-A41D-455E-BE7D-6BBFC9318725}] => (Allow) LPort=33333
  FirewallRules: [{2FBD2662-F06C-401F-8315-54FBAAF90B56}] => (Allow) LPort=20443
  FirewallRules: [{CE564472-1287-4AEE-AB13-86EFF988AB23}] => (Allow) LPort=8090
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Подготовьте лог лог SecurityCheck by glax24

 

[Leks]

вот

 

[akok]

Что с проблемой? Исправьте по возможности

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.22.6.1 Внимание! Скачать обновления
Intel® Driver & Support Assistant v.22.2.14.5 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9008 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 331 (64-bit) v.8.0.3310.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u371-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Yandex v.23.3.3.721 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

[Leks]

Все хорошо спасибо за помощь.

 

[akok]

Удачи. Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки