Перейти к содержанию

Майнер блокирует доступ к avbr и connection_log


Рекомендуемые сообщения

Доброго времени суток! 

недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 

пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером

я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

3 минуты назад, tezeract сказал:

скачал и поставил avbr, даже после переименования файла майнер его закрывал

Запустите его в безопасном режиме с поддержкой сети (F5).

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Возможно вопрос будет глупый, но я попытался запустить avbr в безопасном режиме, но вылезает ошибка "Доступ к этому файлу из системы отсутствует", ничего даже не откроешь, такая же тема с автологером и даже др вебом

Ссылка на сообщение
Поделиться на другие сайты

да, ошибка, пишет: "Не удалось переименовать файл из-за непредвиденной ошибки. При повторном появлении этого сообщения об ошибке выполните поиск по коду ошибки для получения справки. 

Ошибка 0x80070780: Доступ к файлу из системы отсутствует." 

Ссылка на сообщение
Поделиться на другие сайты

А, так у вас не получается его даже переименовать.

 

Попробуйте запустить версию со случайным именем.

 

Ссылка на сообщение
Поделиться на другие сайты

пустить то пустил, но даже так не дал открыть, все равно закрывается

может есть вариант просто отформатировать его? я пытался уе, но меня и туда не пускает, ценного все равно ничего нет, так что не жалко

Ссылка на сообщение
Поделиться на другие сайты

Просто отформатировать всегда успеете :)

 

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Пробуйте сначала в нормальном режиме. Если не получится, делайте в безопасном.

Ссылка на сообщение
Поделиться на другие сайты

файлы проверки, в обычном режиме не дал запустить

первый файл FRST, второй addition

hgfghfg.txt fdhgfh.txt

 

2 часа назад, Sandor сказал:

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт

у меня приложение скачивается, но для одного из файлов выдаётся та же ошибка, нет доступа

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполняйте в безопасном режиме.

 

  • Выделите следующий код:
    Start::
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [44391440 2022-07-10] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5b50-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5baf-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    2022-07-14 20:43 - 2022-07-19 11:01 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-07-14 20:43 - 2022-07-14 20:45 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-07-14 20:43 - 2022-07-14 20:44 - 000000000 __SHD C:\ProgramData\Install
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 ___HD C:\Users\John
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пробуйте в нормальном режиме запустить AVbr.exe

Ссылка на сообщение
Поделиться на другие сайты

Не спешите.

23 часа назад, Sandor сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Это сделайте.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос: AVbr вы запускали в безопасном режиме или в нормальном?

 

Деинсталлируйте нежелательное ПО

Цитата

Bonjour

 

Затем удалите старые и соберите в нормальном режиме логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Karibke
      От Karibke
      Здравствуйте, поймал майнер. При попытке открыть расположение процесса закрывает проводник, диспетчер и браузер; некоторые страницы в браузере либо не открываются, либо вообще закрывает браузер. 
      Логи сняты в безопасном режиме. 
      Заранее спасибо за отклик. 
      CollectionLog-2022.08.29-03.48.zip
    • Arxangelskiy
      От Arxangelskiy
      Доброго времени суток! Уже бесчисленное кол-во я продолжаю в ручную закрывать майнер на своём ПК через диспетчер задач (Кнопкой завершить процесс), после захожу в папку майнера (Открыть путь файла или что-то такое - так же в диспетчере задач) и удаляю папку с этим вирусом. НО! Каждый раз, как включаю ПК, эта зараза вновь появляется по тому же пути в файловой системе и продолжает греть видеокарту. Как можно избавиться от этого?
      Ни один антивирус не видит майнер.
      Название процесса: Nvidia GPU Miner 
      Фото процесса: прилагаю
      Система: Windows 10

    • Danchik
      От Danchik
      Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt
    • Sarfalse
      От Sarfalse
      Здравствуйте, у меня такая же проблема. 
      Подойдет ли этот скрипт или нет? 
      Вот мой CollectionLog
       
      Сообщение от модератора thyrex Перенесено из темы CollectionLog-2022.06.24-14.33.zip
×
×
  • Создать...