Решена Проблемы с майнером при установке ПО

Статус
В этой теме нельзя размещать новые ответы.
A

Anhro-Manius

Новый пользователь
Сообщения
5
Реакции
0
Поймал при установке ПО, обнаружил по сумасшедшим сообщениям аваста и выскакивающем сообщении о закрытии браузера при попытке скачать антивирус. AV block remover отключает его, но при перезапуске он возвращается. Прикрепил результаты сканирования Farbar Recovery Scan Tool
 

Вложения

  • Addition.txt
    175.4 KB · Просмотры: 1
  • Fixlog.txt
    22 KB · Просмотры: 1
  • FRST.txt
    72.2 KB · Просмотры: 1
Лог AV block remover покажите тоже.
 

Вложения

  • report2.log
    2.7 KB · Просмотры: 0
  • report1.log
    817 байт · Просмотры: 1
  • CollectionLog-2023.05.17-23.36.zip
    128.2 KB · Просмотры: 0
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [31649808 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\MountPoints2: {a5e17a55-d1bb-11ea-82cb-c0e434ea4b80} - "G:\autorun.exe" 
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\MountPoints2: {e84406af-cf39-11ed-840d-b980b4241506} - "G:\autorun.exe" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАН
Task: {98A989C5-C2C6-4212-865E-783C74B1B804} - System32\Tasks\Microsoft\Windows\WindowsBackup\SysFiles => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
Task: {E4192CB5-3F1C-45B6-B188-4002064F19FB} - System32\Tasks\Microsoft\Windows\MasterDataI\RecoveryHosts => C:\Programdata\Microsoft\cfdxz\script.bat [2801 2023-05-17] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Programdata\Microsoft\cfdxz\script.bat
2023-05-17 20:11 - 2023-05-17 20:31 - 000000000 __SHD C:\ProgramData\Install
2023-05-17 20:11 - 2023-05-17 20:27 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-05-17 20:11 - 2023-05-17 20:13 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 __SHD C:\KVRT_Data
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 ____D C:\ProgramData\System32
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 ____D C:\ProgramData\RunDLL
2023-05-17 20:09 - 2023-05-17 20:31 - 000000000 __SHD C:\ProgramData\Setup
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Anhro-Manius написал(а):
AV Block remover сам по себе почему-то их создавать не хочет
Нажмите для раскрытия...
Значит утилита не сработала. Ее нужно сохранять в подпапку и переименовывать. Просто на рабочий стол или в папку загрузки, работать не сможет.
 
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [31649808 2023-05-13] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\Policies\Explorer: []
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\MountPoints2: {a5e17a55-d1bb-11ea-82cb-c0e434ea4b80} - "G:\autorun.exe"
HKU\S-1-5-21-2964595732-3146682605-3523893500-1001\...\MountPoints2: {e84406af-cf39-11ed-840d-b980b4241506} - "G:\autorun.exe"
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАН
Task: {98A989C5-C2C6-4212-865E-783C74B1B804} - System32\Tasks\Microsoft\Windows\WindowsBackup\SysFiles => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
Task: {E4192CB5-3F1C-45B6-B188-4002064F19FB} - System32\Tasks\Microsoft\Windows\MasterDataI\RecoveryHosts => C:\Programdata\Microsoft\cfdxz\script.bat [2801 2023-05-17] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Programdata\Microsoft\cfdxz\script.bat
2023-05-17 20:11 - 2023-05-17 20:31 - 000000000 __SHD C:\ProgramData\Install
2023-05-17 20:11 - 2023-05-17 20:27 - 000000000 __SHD C:\ProgramData\WindowsTask
2023-05-17 20:11 - 2023-05-17 20:13 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 __SHD C:\KVRT_Data
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 ____D C:\ProgramData\System32
2023-05-17 20:11 - 2023-05-17 20:11 - 000000000 ____D C:\ProgramData\RunDLL
2023-05-17 20:09 - 2023-05-17 20:31 - 000000000 __SHD C:\ProgramData\Setup
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Нажмите для раскрытия...
 

Вложения

  • Fixlog.txt
    6.3 KB · Просмотры: 1
Готовьте свежий комплект логов FRST
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Подготовьте лог лог SecurityCheck by glax24

Проверяйте, что с проблемой.
 
Вроде все симптомы, которые
akok написал(а):
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Подготовьте лог лог SecurityCheck by glax24

Проверяйте, что с проблемой.
Нажмите для раскрытия...
Попыток браузера самозакрыться больше не происходит и антивирус не ругается, спасибо. Надеюсь, что в дальнейшем он не возникнет из небытия
 

Вложения

  • SecurityCheck.txt
    13.9 KB · Просмотры: 1
Исправьте по возможности:
--------------------------- [ OtherUtilities ] ----------------------------
Oracle VM VirtualBox 6.1.30 v.6.1.30 Внимание! Скачать обновления
Python 3.9.7 (64-bit) v.3.9.7150.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
7-Zip 22.00 (x64 edition) v.22.00.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
ProtonVPN v.1.17.5 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46812 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 301 (64-bit) v.8.0.3010.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.11 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Free VPN version 3.2 v.3.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

Anhro-Manius написал(а):
Надеюсь, что в дальнейшем он не возникнет из небытия
Нажмите для раскрытия...
Из небытия он не возникает. А попадает в систему как правило при установке некоего репака или активатора, скачанного с торрента и при отключенном антивирусе (Защитнике).

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу