Решена Тоже майнер после KMS Auto? нужна помощь с FRST

A

Asadn

Новый пользователь
Сообщения
11
Реакции
0
Поймал тоже вирус после активации офиса с помощью KMS Auto
Ноут загрузка 100%, сам закрывает диспетчер если пытаешься сделать что то, что не нравиться вирусу, не дает установить антивирусы и тд. В безопасном режиме установил AVBR при помощи переименовывание программы.
Ссылка следую поочередно как в этой теме
AVbr удалил пользователя John, и почистил хосты и тд
сейчас завис на этапе программы FRST, сканирование сделал, но нужна помощь в составлении файла скрипта.
Логи прикрепляю, помогите пожалуйста :Dash1:
 

Вложения

  • Addition.txt
    54.5 KB · Просмотры: 1
  • FRST.txt
    35.9 KB · Просмотры: 1
Последнее редактирование:
Выполнять скрипты из чужой темы, все равно, что пить таблетки без этикетки. Поможет или навредит, вопрос открыт.
Лог AVbr тоже крепите
 
Чужие скрипты побоялся делать, почитал что это опасно, поэтому пришлось создать эту тему.
Прикрепляю лог АВБР
 

Вложения

  • AV_block_remove_2023.05.22-13.38.log
    7.9 KB · Просмотры: 2
Последнее редактирование:
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {251CB6B3-B5F5-46DC-B5A0-CEDA8A948B1B} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {35F81B7E-5F6D-41CD-99CF-5811D61B2514} - System32\Tasks\Microsoft\Windows\SysFilesO\RecoveryHosts => C:\Programdata\Microsoft\xbqsk\script.bat (Нет файла) <==== ВНИМАНИЕ
Task: {3829B774-FEA5-4464-B889-64F458F34BF1} - System32\Tasks\Microsoft\Windows\WindowsBackup\CashClean => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {382A74F5-4131-47A2-898C-D04394CC12F9} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {656EB113-1780-49B2-AD64-12828C154B09} - System32\Tasks\Microsoft\Windows\WindowsBackup\MasterData => C:\Windows\SysWOW64\unsecapp.exe (Нет файла)
Task: {8855FF51-E9EC-427B-A93B-1DA10916E562} - System32\Tasks\Microsoft\Windows\WindowsBackup\ServiceManager => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
2023-05-17 14:17 - 2023-05-17 14:17 - 000000000 __SHD C:\Users\User\Downloads\AV_block_remover
2023-05-17 14:17 - 2023-05-17 14:17 - 000000000 __SHD C:\Users\User\Desktop\AV_block_remover
2023-05-17 14:17 - 2023-05-17 14:17 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-17 14:17 - 2023-05-17 14:17 - 000000000 __SHD C:\Program Files\RogueKiller
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

повторные логи FRST делайте из обычного режима.
 
Сделал, новые логи прикрепляю.
 

Вложения

  • Addition.txt
    55.9 KB · Просмотры: 1
  • Fixlog.txt
    7.4 KB · Просмотры: 1
  • FRST.txt
    27.1 KB · Просмотры: 1
Дополнительно: результаты сканирования Malwar-ом
 

Вложения

  • scan-malwar.txt
    7.3 KB · Просмотры: 2
Смотрится неплохо. Покажите результат сканирования на VirusTotal файла
C:\PROGRAM FILES\COMMON FILES\SYSTEM\IEDIAGCMD.EXE
 
не нашел как там скачать результаты, сделал скрин
 

Вложения

  • 2023-05-22_15-45-31.png
    2023-05-22_15-45-31.png
    23.2 KB · Просмотры: 52
Просто скопировать ссылку достаточно.

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое. (только активатор свой не удалите случаем)
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
@akok, Вот, пропустил 2 файла
 

Вложения

  • Reports.rar
    3.2 KB · Просмотры: 4
Последнее редактирование:
Вот и отлично, что с ситемой?
 
akok написал(а):
Вот и отлично, что с ситемой?
Нажмите для раскрытия...
Вроде ожила, теперь в простое температура 45 градусов, кажется все прошло. Два вопроса еще есть.
Больше никаких манипуляций не требуется?
Куда скинуть денежку на кофе в качестве благодарности?
 
Asadn написал(а):
Больше никаких манипуляций не требуется?
Нажмите для раскрытия...
Остались финальные шаги
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Asadn написал(а):
Куда скинуть денежку на кофе в качестве благодарности?
Нажмите для раскрытия...
www.safezone.cc

Помощь проекту

Как оказать помощь нашему проекту
www.safezone.cc www.safezone.cc
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу