Статус
В этой теме нельзя размещать новые ответы.

Jezster

Новый пользователь
Сообщения
12
Реакции
0
Добрый день,помогите,пожалуйста. Подхватил какую-то дрянь. Суть проблемы в том что знаю,что подхватил Майнер,переустановил винд,но проблема не решилась. Пишу с тлф,т.к. браузер ПК отказывается работать и закрывается при переходе сюда,в раздел помощи. Утилитой dr web curelt выявил файл Tool.BtcMine.2660, пробовал им же вылечить,не помогло. На сайт до веб не пускает,закрывает браузер. На сайт Касперского так же. + Есть процесс в диспетчере задач AMD.EXE,которвй грузит то память,то ЦП до 100%при попытке посмотреть расположение файла закрывает диспетчер. Логи приложить физически не могу,ПК напрочь отказывается нормально работать.
Avz закрывает при попытке сканирования
 
Здравствуйте!

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сможете запустить, пробуйте в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите в нормальном режиме CollectionLog Автологером.
 
Первые лог
 

Вложения

  • 1659346395302..jpg
    1659346395302..jpg
    81.5 KB · Просмотры: 289
Качали по ссылке, которую я дал?
 
Скачайте отсюда. Только что проверил, запускается свежая версия.
 
Запустил в итоге через безопасный режим вот что выдает avz сразу после запуска.
Помимо этого окна,в протоколе успел увидеть что было применено микролечение по реестру что-то
 

Вложения

  • 1659347800187..jpg
    1659347800187..jpg
    116.3 KB · Просмотры: 234
Всё верно. Вам вряд ли знаком пользователь вашего компьютера с именем John, поэтому смело нажимайте "Да".
 
Прошу прощения за глупый вопрос,но вот ещё одно уведомление. Лучше положиться на утилиту или самому в ручную почистить?
К слову файл хост в принципе отсутствует ,только imhost.sam есть(по крайней мере в нужной директории я его не видел)
 

Вложения

  • 1659348819418..jpg
    1659348819418..jpg
    142.5 KB · Просмотры: 215
Да, доверьтесь утилите.
 
Сейчас закончился процесс очистки,и ПК перезагрузился. Я так понимаю теперь нужно выйти из безопасного режима и все проверить в обычном?
 
Итак,смог наконец-то зайти с пк. Логи прилагаю. Подскажите,пожалуйста,есть ли какие-то рекомендации что бы не подцепить это дело снова,не считая не устанавливать ПО сомнительного происхождения? И как стоит проводить диагностику ПК,мало ли снова появится. Самое странное для меня это то, что винд был переустановлен,а майнер остался,каким-то образом. Вот думаю не цепляется ли он по IP и стоит ли винить роутер?
 

Вложения

  • AV_block_remove_2022.08.01-13.25.log
    3.6 KB · Просмотры: 10
После перезагрузки системы соберите в нормальном режиме CollectionLog Автологером.
Ещё это, пожалуйста. То есть, логи по правилам раздела - Правила оформления запроса о помощи

Не спешите, мы ещё не закончили и обо всём поговорим.

винд был переустановлен,а майнер остался
Предположу всё же, что была скачана и установлена некая игра.
 
Прошу,прощения,забыл на радостях. Вот полный отчет,могу файлы отдельно прикрепить,так же внутри архива есть еще один архив(он самим автологгером был сформирован)
 

Вложения

  • CollectionLog-2022.08.01-13.46.zip
    46.5 KB · Просмотры: 13
могу файлы отдельно прикрепить
Не нужно.

Запустите ещё раз AVbr, только уже из нормального режима. Дайте компьютеру перезагрузиться и прикрепите новый отчёт AV_block_remove_дата-время.log

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прошу,прощения,забыл на радостях. Вот полный отчет,могу файлы отдельно прикрепить,так же внутри архива есть еще один архив(он самим автологгером был сформирован)
А собственно этот лог как раз из нормального режима,правда перезагрузку не предлагал,почему-то
Не нужно.

Запустите ещё раз AVbr, только уже из нормального режима. Дайте компьютеру перезагрузиться и прикрепите новый отчёт AV_block_remove_дата-время.log

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Не нужно.

Запустите ещё раз AVbr, только уже из нормального режима. Дайте компьютеру перезагрузиться и прикрепите новый отчёт AV_block_remove_дата-время.log

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Вложения

  • AV_block_remove_2022.08.01-14.05.log
    4.1 KB · Просмотры: 6
  • Addition.txt
    27.1 KB · Просмотры: 12
  • FRST.txt
    42.7 KB · Просмотры: 14
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
    IFEO\calc.exe: [Debugger] win32calc.exe
    IFEO\CompatTelRunner.exe: [Debugger] svchost.exe
    IFEO\upfc.exe: [Debugger] svchost.exe
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-936254367-1666306640-167998816-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {04C5A16B-B93D-4EDD-BD68-659AEABDBB04} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {3B18EE52-9231-4985-8DC1-CBBE245A7AE4} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {8B4903D2-31C6-4582-BEEC-0685103FA7A0} - System32\Tasks\Temp => powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse
    Task: {C1DF673D-0B6F-484F-B11C-0DD515088F2E} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {FE6380FD-74AF-4259-B6CF-2BF9ECE343D9} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Готово
 

Вложения

  • Fixlog.txt
    8.5 KB · Просмотры: 17
Предположу, что проблема решена. Если так, завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу