Решена Словил майнера. Помогите

Статус
В этой теме нельзя размещать новые ответы.

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Помогите пожалуйста кто разбирается в данной теме. Словился майнер. Закрывает все программы которые чистят его. Даже браузер закрывает если там есть упоминания. Dr Web Cure It не закрывает. Он нашёл tool.btcMine.2660. Я удалил этот вирус, но ничего не изменилось. Как быть? Подскажите как излечиться от этой гадости? Система Windows 10 стоит
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,549
Реакции
6,598
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Если всё равно не будет работать, то загрузите систему в безопасном режиме с сетью и пролечите ей оттуда.


После готовьте логи по правилам, будем дочищать
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Если всё равно не будет работать, то загрузите систему в безопасном режиме с сетью и пролечите ей оттуда.


После готовьте логи по правилам, будем дочищать
Сделано в безопасном режиме
 

Вложения

  • CollectionLog-2022.08.07-16.16.zip
    51.3 KB · Просмотры: 5

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,549
Реакции
6,598

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Я нубас. Извините
 

Вложения

  • AV_block_remove_2022.08.07-16.05.log
    6.4 KB · Просмотры: 1

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
13,549
Реакции
6,598
Профиксите в HijackThis
Код:
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O26 - Debugger: HKLM\..\EOSnotify.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\InstallAgent.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\MusNotification.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\MusNotificationUx.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\remsh.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\SihClient.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\UpdateAssistant.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\upfc.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\UsoClient.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\WaaSMedic.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\WaasMedicAgent.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\Windows10Upgrade.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\Windows10UpgraderApp.exe: [Debugger] = / (file missing)
O26 - Debugger: HKLM\..\DeviceCensus.exe: [Debugger] = C:\Windows\system32\taskkill.exe (Microsoft)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Не ну я конечно не компьютерщик, но 64 бит от 32 отличить всё же смогу)
сделано
 

Вложения

  • FRST.txt
    39.9 KB · Просмотры: 2
  • Addition.txt
    33 KB · Просмотры: 2

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Так, сейчас я переделаю заново, потому-что я не увидел что там ползунок ещё вниз двигается в коде...
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Вот
 

Вложения

  • FRST.txt
    45.1 KB · Просмотры: 4
  • Addition.txt
    33.4 KB · Просмотры: 4

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,775
Реакции
14,256
Сами систему твикали?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2897661675-3029319113-1492501977-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2897661675-3029319113-1492501977-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
А точно нужно просто скопировать и никуда не вставлять? Хм. Ну ок
 

Вложения

  • Fixlog.txt
    4.5 KB · Просмотры: 3

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,775
Реакции
14,256
Проверяйте, что с проблемой.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
21,775
Реакции
14,256
Понаблюдайте за системой, будут ли симптомы майнера. А пока финальные рекомендации.

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
SecurityCheck by glax24 & Severnyj v.1.4.0.54 [06.12.21]
WebSite: www.safezone.cc
DateLog: 10.08.2022 21:54:09
Path starting: C:\Users\Maxon\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Maxon
VersionXML: 10.07is-06.08.2022
___________________________________________________________________________

Windows 10(6.3.19044) (x64) Professional Версия: 2009 Lang: Russian(0419)
Дата установки ОС: 03.08.2022 08:58:16
Статус лицензии: Windows(R), Professional edition Срок истечения многопользовательской активации: 256124 мин.
Режим загрузки: Normal
Браузер по умолчанию: C:\Users\Maxon\AppData\Local\Yandex\YandexBrowser\Application\browser.exe
Системный диск: C: ФС: [NTFS] Емкость: [465.8 Гб] Занято: [213.5 Гб] Свободно: [252.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.789.19041.0
Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Total Security (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Total Security (включен)
--------------------------- [ OtherUtilities ] ----------------------------
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0
-------------------------- [ IMAndCollaborate ] ---------------------------
Telegram Desktop v.4.0.2
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex v.22.7.2.899
Google Chrome v.104.0.5112.81
Microsoft Edge v.104.0.1293.47
------------------ [ AntivirusFirewallProcessServices ] -------------------
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Auslogics BoostSpeed 12 v.12.1.0.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
----------------------------- [ End of Log ] ------------------------------
 

Maxonchoo

Новый пользователь
Сообщения
10
Реакции
0
Спасибо большое всем кто помогал!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу