Перейти к содержанию

Майнер блокирует доступ к avbr и connection_log


Рекомендуемые сообщения

Доброго времени суток! 

недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 

пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером

я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

3 минуты назад, tezeract сказал:

скачал и поставил avbr, даже после переименования файла майнер его закрывал

Запустите его в безопасном режиме с поддержкой сети (F5).

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Возможно вопрос будет глупый, но я попытался запустить avbr в безопасном режиме, но вылезает ошибка "Доступ к этому файлу из системы отсутствует", ничего даже не откроешь, такая же тема с автологером и даже др вебом

Ссылка на сообщение
Поделиться на другие сайты

да, ошибка, пишет: "Не удалось переименовать файл из-за непредвиденной ошибки. При повторном появлении этого сообщения об ошибке выполните поиск по коду ошибки для получения справки. 

Ошибка 0x80070780: Доступ к файлу из системы отсутствует." 

Ссылка на сообщение
Поделиться на другие сайты

А, так у вас не получается его даже переименовать.

 

Попробуйте запустить версию со случайным именем.

 

Ссылка на сообщение
Поделиться на другие сайты

пустить то пустил, но даже так не дал открыть, все равно закрывается

может есть вариант просто отформатировать его? я пытался уе, но меня и туда не пускает, ценного все равно ничего нет, так что не жалко

Ссылка на сообщение
Поделиться на другие сайты

Просто отформатировать всегда успеете :)

 

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Пробуйте сначала в нормальном режиме. Если не получится, делайте в безопасном.

Ссылка на сообщение
Поделиться на другие сайты

файлы проверки, в обычном режиме не дал запустить

первый файл FRST, второй addition

hgfghfg.txt fdhgfh.txt

 

2 часа назад, Sandor сказал:

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт

у меня приложение скачивается, но для одного из файлов выдаётся та же ошибка, нет доступа

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполняйте в безопасном режиме.

 

  • Выделите следующий код:
    Start::
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [44391440 2022-07-10] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5b50-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5baf-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    2022-07-14 20:43 - 2022-07-19 11:01 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-07-14 20:43 - 2022-07-14 20:45 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-07-14 20:43 - 2022-07-14 20:44 - 000000000 __SHD C:\ProgramData\Install
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 ___HD C:\Users\John
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пробуйте в нормальном режиме запустить AVbr.exe

Ссылка на сообщение
Поделиться на другие сайты

Не спешите.

23 часа назад, Sandor сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Это сделайте.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос: AVbr вы запускали в безопасном режиме или в нормальном?

 

Деинсталлируйте нежелательное ПО

Цитата

Bonjour

 

Затем удалите старые и соберите в нормальном режиме логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Asterix
      От Asterix
      На рабочем столе появились 2 папки AV block remover и AutoLogger. Доступа к ним нет. Сам Av block remover и AutoLogger скачивал, не работают. Вирус блокировал доступ к форумам по компьютерной помощи и так далее.
      Просканил касперским, что-то он нашёл, вылечил, перезагрузил, доступ к сайтам появился. DrWeb Curelt не нашёл ничего.
       




    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
    • Tim7
      От Tim7
      Добрый день!
      Точно такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Подхватил HEUR:Trojan.Win64.Miner.gen, как удалить?
    • Volodya
      От Volodya
      Здравствуйте. Обнаружил сегодня внезапно нового пользователя John. Погуглив понял, что это какой-то майнер. Не без труда скачал KVRT и проверил через него, нашлось 15 проблем. Вроде все удалилось, сайт открывается, пользователя удалил. Помогите убедиться, что никаких следов майнера не осталось, пожалуйста
      CollectionLog-2024.01.14-01.31.zip
    • KonstantinD
      От KonstantinD
      Все привет , подскажите пожалуста в ноуте сидит майнер процесор грущит 100% . что делать ? сам справится не могу
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...