Майнер блокирует доступ к avbr и connection_log

[tezeract 0]

Доброго времени суток! 

недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 

пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером

я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 

[Sandor 1098]

Здравствуйте!

 

3 минуты назад, tezeract сказал:

скачал и поставил avbr, даже после переименования файла майнер его закрывал

Запустите его в безопасном режиме с поддержкой сети (F5).

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

[tezeract 0]

Возможно вопрос будет глупый, но я попытался запустить avbr в безопасном режиме, но вылезает ошибка "Доступ к этому файлу из системы отсутствует", ничего даже не откроешь, такая же тема с автологером и даже др вебом

[Sandor 1098]

С переименованным в безопасном режиме тоже ошибка?

[tezeract 0]

да, ошибка, пишет: "Не удалось переименовать файл из-за непредвиденной ошибки. При повторном появлении этого сообщения об ошибке выполните поиск по коду ошибки для получения справки. 

Ошибка 0x80070780: Доступ к файлу из системы отсутствует." 

[Sandor 1098]

А, так у вас не получается его даже переименовать.

 

Попробуйте запустить версию со случайным именем.

 

[Sandor 1098]

Если "не пускает", пробуйте скачать её отсюда.

[tezeract 0]

пустить то пустил, но даже так не дал открыть, все равно закрывается

может есть вариант просто отформатировать его? я пытался уе, но меня и туда не пускает, ценного все равно ничего нет, так что не жалко

[Sandor 1098]

Просто отформатировать всегда успеете

 

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Пробуйте сначала в нормальном режиме. Если не получится, делайте в безопасном.

[tezeract 0]

файлы проверки, в обычном режиме не дал запустить

первый файл FRST, второй addition

hgfghfg.txt fdhgfh.txt

 

2 часа назад, Sandor сказал:

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт

у меня приложение скачивается, но для одного из файлов выдаётся та же ошибка, нет доступа

[Sandor 1098]

Скрипт выполняйте в безопасном режиме.

 

• Выделите следующий код:

  Start::
  HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [44391440 2022-07-10] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5b50-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5baf-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
  2022-07-14 20:43 - 2022-07-19 11:01 - 000000000 __SHD C:\ProgramData\WindowsTask
  2022-07-14 20:43 - 2022-07-14 20:45 - 000000000 __SHD C:\ProgramData\RealtekHD
  2022-07-14 20:43 - 2022-07-14 20:44 - 000000000 __SHD C:\ProgramData\Install
  2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 __SHD C:\ProgramData\RunDLL
  2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 ___HD C:\Users\John
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пробуйте в нормальном режиме запустить AVbr.exe

[tezeract 0]

Cпасибо большое за помощь, после фикса авбр открылся и почистил все, теперь все работает, без вас бы не справился)

Fixlog.txt

[Sandor 1098]

Не спешите.

23 часа назад, Sandor сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Это сделайте.

[tezeract 0]

AV_block_remove_2022.07.20-11.38.log CollectionLog-2022.07.20-15.24.zip

[Sandor 1098]

Вопрос: AVbr вы запускали в безопасном режиме или в нормальном?

 

Деинсталлируйте нежелательное ПО

Цитата

Bonjour

 

Затем удалите старые и соберите в нормальном режиме логи FRST.txt и Addition.txt