Перейти к содержанию
Правила раздела

Подозрение на скрытый майнер/malware/fingerprint.exe

DMiTR3PLAY

Автор DMiTR3PLAY
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DMiTR3PLAY

DMiTR3PLAY

Опубликовано
Опубликовано (изменено)

Добрый день.

Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.

При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.

Подозреваю скрытый майнер.

После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.

Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.

Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.

Прошу помощи в борьбе с заразой.

CollectionLog-2022.06.29-23.31.zip

Malwarebytes_scanlog.txt

Изменено пользователем DMiTR3PLAY
thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
QuarantineFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\Qt5Core.dll','32');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Transmission\transmission-qt.exe','32');
DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','32');
 DeleteFile('C:\ProgramData\Eeyore-dialyzed\bin.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Temp\zCHsASpIBYXdLBBel\sZXQiekAvkpjXGw\SuCjHbZ.exe','64');
 DeleteFile('C:\Users\fon9\AppData\Local\Programs\Ghostery\9f67f9ced7.msi','64');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW.job');
 DeleteSchedulerTask('belligerency-berm');
 DeleteSchedulerTask('bMFeYvsDHCOENfAmYW');
 DeleteSchedulerTask('gbVAyVNmk');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-3763704632-2999901722-2954520180-1001');
 DeleteService('Transmission');
 DeleteFileMask('C:\Users\fon9\AppData\Local\Programs\Transmission', '*', true);
 DeleteDirectory('C:\Users\fon9\AppData\Local\Programs\Transmission');
 DeleteFileMask('C:\ProgramData\FingerPrint', '*', true);
 DeleteDirectory('C:\ProgramData\FingerPrint');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sladkoeshKA
      CHROMIUM:PAGE.MALWARE.URL. не удаляется расширение t-cashback
      Автор sladkoeshKA
      FRST.txtFRST.txtДобрый день,
       
      Не получается удалить расширение T-cashback из Yandex браузера. Dr. Web обнаруживал ранее CHROMIUM:PAGE.MALWARE.URL. лечил, удалял, не помогло
      Нашел такую же проблему на форуме ранее
      Решил также оставить FRST.txt
       
      Addition.txt
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
    • trotnl
      Трояны и вирусные расширения браузера
      Автор trotnl
      Недавно мной были замечены странные видео в истории просмотра, которые я, естественно, не смотрел, решил проверить в чем проблема, выяснилось что у меня появилось неизвестного происхождения расширение которое маскируется под adblock, где при переходе на сайт разработчика выходит фейковый сайт (см. прикрепленные фото)

       
       
      Решил удалить напрямую из папки расширений браузера, но это тоже не помогло, они просто подгрузились обратно, далее провел проверку программой Dr.Web CureIt! который нашел следующие проблемы:
       
       

      Также прикрепляю логи: CollectionLog-2026.01.31-13.40.zip Addition.txtFRST.txtAdwCleaner[C00].txt
    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
×
×
  • Создать...