Решена Удаления майнера с 100430184

Статус
В этой теме нельзя размещать новые ответы.

Денис1111

Новый пользователь
Сообщения
7
Реакции
0
Комп работает на износ, процесс (100430184) кушает всё свободное ЦП. СПАСИТЕ
1626620359383.png

В корневой папке имеется TXT файл с названием "Удаление", немножко не доверяю содержимому, или лучше прислушаться?
1626620451114.png
 
Можете удалить полезное, или там ничего не будет. Зловред прописаться может где угодно.... нужны логи

 
прикрепляю логи
 

Вложения

  • CollectionLog-2021.07.18-22.13.zip
    99.3 KB · Просмотры: 10

Вложения

  • CollectionLog-2021.07.18-22.13.zip
    99.3 KB · Просмотры: 11
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Qwe.lnk"         -> ["C:\tay\Qwe.exe"]
-[MINER] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Visio.lnk"          -> ["C:\tay\vdaruriau-ney.exe"  =>> -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4]



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\tay\vdaruriau-ney.exe','');
 DeleteFile('c:\tay\vdaruriau-ney.exe','32');
 DeleteFileMask('c:\tay', '*.*', true);
 DeleteDirectory('c:\tay');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Qwe.lnk    ->    C:\tay\Qwe.exe
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Visio.lnk    ->    C:\tay\vdaruriau-ney.exe -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
Код:
- "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Qwe.lnk"         -> ["C:\tay\Qwe.exe"]
-[MINER] "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\Visio.lnk"          -> ["C:\tay\vdaruriau-ney.exe"  =>> -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4]



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\tay\vdaruriau-ney.exe','');
 DeleteFile('c:\tay\vdaruriau-ney.exe','32');
 DeleteFileMask('c:\tay', '*.*', true);
 DeleteDirectory('c:\tay');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Qwe.lnk    ->    C:\tay\Qwe.exe
O4 - Global User Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Visio.lnk    ->    C:\tay\vdaruriau-ney.exe -B -r 3 --donate-level=1 -o stratum+tcp://fi1.pool-pay.com:25955 -u 45ypRpR7priR7pR7pr7yRirG7FpRpTe7pTepR7yyjprRpgyRprRRprRpg7prg7ipRpRRRyzy7prRRiRprR156R77iR7iprpRVpRpRypTeR.id13 -p x -t 4

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

Вложения

  • ClearLNK-2021.07.18_22.54.39.log
    1.5 KB · Просмотры: 1
  • ClearLNK-2021.07.18_22.56.50.log
    1.9 KB · Просмотры: 1
Через HijackThis нет ни одной соответствующей строчки
 
Это хорошо, значит удалилось в другой итерации лечения. Что с проблемой?
 
Вроде помогло, процесс исчез, содержимое папки источника процесса исчезло.
Спасибо большое!
 
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Тогда финальные рекомендации.
Подготовьте лог лог SecurityCheck by glax24


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 

Вложения

  • SecurityCheck.txt
    5.2 KB · Просмотры: 8
Рекомендуется удалить нежелательное ПО:
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Читайте Рекомендации после удаления вредоносного ПО
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу