Перейти к содержанию

Удаление последствий майнера


Рекомендуемые сообщения

Вчера поймал майнер с кривого репака, два процесса nt kernel грузили систему. По открытию расположения файла вели к несуществующим папкам. Стереть вроде смог, опасаюсь за остаточные файлы. 

CollectionLog-2022.06.21-11.46.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на сообщение
Поделиться на другие сайты

В целом - уже хорошо выглядят логи. Для верности дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1988440126-2162473832-488133998-1001\...\MountPoints2: {1786b89a-f02e-11ec-a234-803049b78708} - "F:\Setup.exe" 
    HKU\S-1-5-21-1988440126-2162473832-488133998-1001\...\MountPoints2: {1786b8fa-f02e-11ec-a234-803049b78708} - "F:\Setup.exe" 
    HKU\S-1-5-21-1988440126-2162473832-488133998-1001\...\MountPoints2: {1786b8fe-f02e-11ec-a234-803049b78708} - "G:\RunGame.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1988440126-2162473832-488133998-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {1A3372A8-EC72-450C-834C-839A4A44BF54} - \Microsoft\Windows\Wininet\RealtekMO -> Нет файла <==== ВНИМАНИЕ
    Task: {750F510D-4579-4A97-BCDE-6B46BF0CDD08} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostOnlogon => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {76B1E206-EA0D-4AA4-BE66-328D8D48EBA0} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostMO => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {B2729A34-99EC-4A6B-A0AB-EC8AD3C2CFF6} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла)
    Task: {D79B55FD-E6B3-4970-B2C3-6F74E032489F} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (Нет файла)
    Task: {EA9B6CD7-9C77-4C69-AE99-199B8FD4EDB8} - \Microsoft\Windows\Wininet\RealtekOnLogon -> Нет файла <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access 2016.lnk:B76C4E1157 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2019.lnk:7A8AE192A6 [10]
    AlternateDataStreams: C:\Users\kloun\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\kloun\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{4F719555-C752-4561-BCE8-C49A9C28562E}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отлично! В завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Karibke
      От Karibke
      Здравствуйте, поймал майнер. При попытке открыть расположение процесса закрывает проводник, диспетчер и браузер; некоторые страницы в браузере либо не открываются, либо вообще закрывает браузер. 
      Логи сняты в безопасном режиме. 
      Заранее спасибо за отклик. 
      CollectionLog-2022.08.29-03.48.zip
    • Arxangelskiy
      От Arxangelskiy
      Доброго времени суток! Уже бесчисленное кол-во я продолжаю в ручную закрывать майнер на своём ПК через диспетчер задач (Кнопкой завершить процесс), после захожу в папку майнера (Открыть путь файла или что-то такое - так же в диспетчере задач) и удаляю папку с этим вирусом. НО! Каждый раз, как включаю ПК, эта зараза вновь появляется по тому же пути в файловой системе и продолжает греть видеокарту. Как можно избавиться от этого?
      Ни один антивирус не видит майнер.
      Название процесса: Nvidia GPU Miner 
      Фото процесса: прилагаю
      Система: Windows 10

    • tezeract
      От tezeract
      Доброго времени суток! 
      недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 
      пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером
      я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 
    • Danchik
      От Danchik
      Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt
×
×
  • Создать...