Закрыто Возможные остатки майнера

Статус
В этой теме нельзя размещать новые ответы.
HelpMy

HelpMy

Новый пользователь
Сообщения
12
Реакции
0
Здравствуйте!

Поймал майнер со скрытым пользователем "john" после установки игры. Своими силами по мере возможностей, попытался его удалить, но есть подозрения что где-то засели остатки. Требуется помощь знающих людей, по очистке от этой гадости.

Симптоматика после очистки ( в том числе и вашим софтом ) открывается окно хост консоли проверки драйвера амд, но возможно это и есть проверка, каждые несколько минут рабочий стол релоадится. как будто бы кто-то нажимает обновить на рабочем столе, очень редко но падает причем при простом сворачивании, microsoft Edge. Вентиляторы работают чуть шумнее чем это было ранее, предпосылок этому нет никаких, так как ничего тяжеловесного не запускается.
 

Вложения

  • CollectionLog-2023.12.20-22.23.zip
    1.7 MB · Просмотры: 9
Логи с Farbar Recovery Scan Tool
 
Пока следов не видно. Логи FRST не прикрепили.
 
FRST - Логи
 

Вложения

  • Addition.txt
    71.5 KB · Просмотры: 3
  • FRST.txt
    52.4 KB · Просмотры: 3
Ничего активного не вижу, только вопрос, что с hosts наделали? Там полотенце на 80+ тыс. строк
 
Раз не тормозит, то и ладно.
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.
 
Там в одном из логов имеется такая вот ошибка "explorer.exe"
Извините что без спойлера
Ошибки приложения:
==================
Error: (12/21/2023 02:41:36 AM) (Source: Application Error) (EventID: 1000) (User: DESKTOP-B5SHC6K)
Description: Имя сбойного приложения: explorer.exe, версия: 10.0.22621.2792, метка времени: 0xfbda1990
Имя сбойного модуля: explorer.exe, версия: 10.0.22621.2792, метка времени: 0xfbda1990
Код исключения: 0xc0000409
Смещение ошибки: 0x00000000000886b0
Идентификатор сбойного процесса: 0x0xc0
Время запуска сбойного приложения: 0x0x1da337b9b4dcd03
Путь сбойного приложения: C:\WINDOWS\explorer.exe
Путь сбойного модуля: C:\WINDOWS\explorer.exe
Идентификатор отчета: d4a70b39-3fd7-4701-9985-bc8734ac3bdb
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Из-за чего это может быть?
 
Security Check
 

Вложения

  • SecurityCheck.txt
    6.1 KB · Просмотры: 2
Видел, причины невнятны требуется "расследование" по журналам, но это не вопрос этого раздела. Перезапуски эксплорера заметны?
 
Исправьте по возможности
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.9-I601 amd64 v.2.5.042 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
K-Lite Codec Pack 17.9.0 Basic v.17.9.0 Внимание! Скачать обновления
 
В безопасном режиме тоже?
 
Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.


В идеале, на время теста вернуть файл hosts до эталонного состояния.
 
Только что по совету другого пользователя, который помогает параллельно помогает в личке, выполнил команду "sfc scannow" и вот что в логе вылезло, были системные ошибки.
2023-12-21 04:30:04, Info DEPLOY [Pnp] Corrupt file: C:\WINDOWS\System32\drivers\BthA2dp.sys
2023-12-21 04:30:04, Info DEPLOY [Pnp] Repaired file: C:\WINDOWS\System32\drivers\BthA2dp.sys
2023-12-21 04:30:05, Info DEPLOY [Pnp] Corrupt file: C:\WINDOWS\System32\drivers\BthHfEnum.sys
2023-12-21 04:30:05, Info DEPLOY [Pnp] Repaired file: C:\WINDOWS\System32\drivers\BthHfEnum.sys
2023-12-21 04:30:05, Info DEPLOY [Pnp] Corrupt file: C:\WINDOWS\System32\drivers\bthmodem.sys
2023-12-21 04:30:05, Info DEPLOY [Pnp] Repaired file: C:\WINDOWS\System32\drivers\bthmodem.sys
 
Hunter, как полагаю.
 
Блин, так неохота заморачиваться с этим методом исключения в автозагрузке, кто бы только знал. А нету способов по проще?
 
HelpMy написал(а):
Всё может быть и всё быть может, И всё, конечно, может быть, Но только быть того не может, Чего совсем не может быть. Это имеет особое значение?
Нажмите для раскрытия...
у него это не первый залет с вредными советами. Если это он.

HelpMy написал(а):
Блин, так неохота заморачиваться с этим методом исключения в автозагрузке, кто бы только знал. А нету способов по проще?
Нажмите для раскрытия...
верните hosts к эталонному и проверьте. Всегда можно переустановить ОС тем более откат к заводским вшит в операционную систему.

HelpMy написал(а):
Только что по совету другого пользователя, который помогает параллельно помогает в личке, выполнил команду "sfc scannow" и вот что в логе вылезло, были системные ошибки.
Нажмите для раскрытия...

Установка - Нарушение целостности windows 11

Установка - Нарушение целостности windows 11
forum.oszone.net

пока не время.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу