lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Здравствуйте, помогите решить проблему. Жрёт систему (в диспетчере задач на 2 Гб), скорее всего, майнер. Прикрепляю логи
Последнее редактирование:
Решена Видимо, майнер шифруется и жрёт систему. Утилита сравнения файлов DOS 5
- Автор темы lydmila_83
- Дата начала
- Статус
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Заморозила в ProcessHacker 2. Пока не беспокоит. Вообще проявлял себя, как типичный майнер. Ноут мощный, обычно охлаждение редко включается, а тут при обычной работе - гудит без остановки. Открыла диспетчер задач - процесс останавливается, и так по кругу. Сайты с антивирусом не грузятся.
- Сообщения
- 3,793
- Реакции
- 2,397
удалите через Установку программ.
Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
TerminateProcessByName('c:\users\orlov\appdata\local\programs\transmission\transmission-qt.exe');
TerminateProcessByName('c:\programdata\probe-presenting\bin.exe');
SetServiceStart('Transmission', 4);
QuarantineFile('c:\programdata\probe-presenting\bin.exe','');
QuarantineFile('C:\Program Files (x86)\OzcsNlKmRLtHBgsspDR\uBVfsRS.dll','');
QuarantineFile('C:\Program Files (x86)\yDpLHcmLKVMU2\tSwcSFjLSdEqm.dll','');
QuarantineFile('C:\ProgramData\bvWGyQdfUEAlzkVB\kuzqhTw.wsf','');
QuarantineFile('C:\Users\orlov\AppData\Local\Programs\AdLock\066daa1079.msi','');
DeleteFile('c:\programdata\probe-presenting\bin.exe','32');
DeleteFile('C:\Users\orlov\AppData\Local\Programs\AdLock\066daa1079.msi','64');
DeleteFile('C:\ProgramData\bvWGyQdfUEAlzkVB\kuzqhTw.wsf','64');
DeleteFile('C:\Program Files (x86)\yDpLHcmLKVMU2\tSwcSFjLSdEqm.dll','64');
DeleteFile('C:\Program Files (x86)\OzcsNlKmRLtHBgsspDR\uBVfsRS.dll','64');
DeleteFile('c:\users\orlov\appdata\local\programs\Transmission\Qt5Core.dll','32');
DeleteFile('c:\users\orlov\appdata\local\programs\transmission-qt.exe','32');
DeleteSchedulerTask('BtDtlUdOnWxDu2');
DeleteSchedulerTask('AdLock Update Task-S-1-5-21-3993560062-1772299425-1253343611-1001');
DeleteSchedulerTask('PclJyMJxQJTGjmijV2');
DeleteSchedulerTask('MOwMSWJuzNYujC');
DeleteSchedulerTask('pregnant-pool');
DeleteSchedulerTask('RZSxKSTidhsHFjtmNvP2');
DeleteSchedulerTask('zBotWVnKzFxRpkN2');
DeleteService('Transmission');
DeleteFileMask('c:\users\orlov\appdata\local\programs\Transmission', '*', true);
DeleteDirectory('c:\users\orlov\appdata\local\programs\Transmission');
DeleteFileMask('C:\ProgramData\RobotDemo', '*', true);
DeleteDirectory('C:\ProgramData\RobotDemo');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.- Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)
Код:
O17 - DHCP DNS 1: 163.172.35.26
O17 - DHCP DNS 2: 178.175.133.61
O17 - HKLM\System\CCS\Services\Tcpip\..\{c342dd05-ec96-49ea-9e65-55b850765fc0}: [NameServer] = 163.172.35.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{c342dd05-ec96-49ea-9e65-55b850765fc0}: [NameServer] = 178.175.133.61Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Все шаги выполнила. Прикрепляю новые логи
- Сообщения
- 3,793
- Реакции
- 2,397
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Готово.
- Сообщения
- 3,793
- Реакции
- 2,397
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
После скрипта
Код:
Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3993560062-1772299425-1253343611-1001\...\Run: [YandexBrowserAutoLaunch_33CC102CB093678139C47137C16E436B] => "C:\Users\orlov\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Нет файла)
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR NewTab: Profile 1 -> "active" : true,
"entry" : "chrome-extension://iniabgbbmccaomaocmhcfioahgipigbh/browse.html"
,
"active" : true,
"entry" : "chrome-extension://pchfckkccldkbclgdepkaonamkignanh/layout/newtab.html"
C:\Users\orlov\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
C:\Users\orlov\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3993560062-1772299425-1253343611-1001\...\{0ed1d843-7a51-4762-b4aa-c6660e1c6fcf}) (Version: 1.0.0.0 - AdLock) Hidden
elephant sing 1.4.2.83 (HKLM-x32\...\{10fd8109-6ebe-4e9f-8549-44d0261715d2}) (Version: 1.4.2.83 - Barone, Ferrara e Piras s.r.l. s.r.l.) Hidden
FirewallRules: [{049EAF92-FC5C-46B9-B0E1-952EE9EE172A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.79.95.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{0E70A6E3-9C19-4AB9-8F83-FB4FED9BF0C2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.79.95.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{6092AD45-5A14-4926-A7FA-CCCA6E1BC0C6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.79.95.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{DBA73CE9-5932-4F71-A527-E28FFF99022E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.79.95.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{556CCADB-0C2B-4FE2-9B77-74609644DA6C}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe (Valve -> Valve Corporation)
FirewallRules: [{6A815E33-85C0-4368-8C9F-8AAAE77A883A}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.80.194.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{BDEEB27F-3239-469C-9A90-29A750516BCC}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.80.194.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{28B81F68-49C8-4FB3-8EA3-900EB6AFEEF2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.80.194.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{888DA3CD-16D6-429A-8790-8ACE71953B8D}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.80.194.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{F21F6B9B-544D-40EE-8561-F1500D4E0ACE}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{928DCFF7-8F44-44E7-A140-4C43B8AD9535}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{1F68B189-7D4B-41C1-B4DB-1DB1857D061B}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{A4A365BA-EC6B-4D4B-B29A-0D9098D21965}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.83.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{9D466D76-CEAE-47BB-B464-700912591801}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.85.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{B6088729-5C1F-4CEA-A8C5-641BC9E08546}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.85.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{09CC00B3-2222-4BCC-912C-125EAFF774D0}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.85.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
FirewallRules: [{89C64645-B1FD-4474-93E0-0279F942046C}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.85.3409.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Нет файла
C:\ProgramData\probe-presenting
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
После скрипта
удалите через Установку программ или принудительно с помощью Geek Uninstaller
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Сделала.
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Сейчас не беспокоит ничего. Смотрела в Process Hacker 2, всё ненужное пропало вроде как.
- Сообщения
- 24,714
- Реакции
- 13,566
Подготовьте лог лог SecurityCheck by glax24
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Сделала, но не поняла, что его тоже нужно прикрепить. Извините)
- Сообщения
- 24,714
- Реакции
- 13,566
Исправьте по возможности
--------------------------- [ OtherUtilities ] ----------------------------
Dell SupportAssist v.3.10.4.18 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.0.26 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.104.0.5112.81 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
После выполните скрипт FRST
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
После перезагрузки удалите нежелательное ПО
AdLock Privacy Ad Blocker
После
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
--------------------------- [ OtherUtilities ] ----------------------------
Dell SupportAssist v.3.10.4.18 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.0.26 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.104.0.5112.81 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
После выполните скрипт FRST
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: AdLock Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-3993560062-1772299425-1253343611-1001\...\{0ed1d843-7a51-4762-b4aa-c6660e1c6fcf}) (Version: 1.0.0.0 - AdLock) Hidde Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
После перезагрузки удалите нежелательное ПО
AdLock Privacy Ad Blocker
После
Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Сделала.
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Не могу найти AdLock Privacy Ad Blocker, ни в удалении программ, ни в CCleaner, ни в поиске
lydmila_83
Новый пользователь
- Сообщения
- 14
- Реакции
- 3
Так я сделала скрипт же
- Сообщения
- 3,793
- Реакции
- 2,397
удалите через Установку программ или принудительно с помощью Geek Uninstaller
- Статус