Перейти к содержанию

Майнер блокирует доступ к avbr и connection_log


Рекомендуемые сообщения

Доброго времени суток! 

недавно схватил майнер на компьютер, пытался почистить cureit'ом, сначала майнер блокировал доступ к сайту, а после, когда антивирус скачался и удалил файлы, после перезагрузки они появлялись вновь. 

пытался почистить hosts - безрезультатно, скачал и поставил avbr, даже после переименования файла майнер его закрывал и не давал использовать, такая же история с connection_log'ом, он включался, начинал проверку, а как только дело доходило до открытия окон explorer и edge - отключался майнером

я постараюсь прикрепить лог, если мне удастся провести процесс до конца, но пока безуспешно 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

3 минуты назад, tezeract сказал:

скачал и поставил avbr, даже после переименования файла майнер его закрывал

Запустите его в безопасном режиме с поддержкой сети (F5).

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Ссылка на сообщение
Поделиться на другие сайты

Возможно вопрос будет глупый, но я попытался запустить avbr в безопасном режиме, но вылезает ошибка "Доступ к этому файлу из системы отсутствует", ничего даже не откроешь, такая же тема с автологером и даже др вебом

Ссылка на сообщение
Поделиться на другие сайты

да, ошибка, пишет: "Не удалось переименовать файл из-за непредвиденной ошибки. При повторном появлении этого сообщения об ошибке выполните поиск по коду ошибки для получения справки. 

Ошибка 0x80070780: Доступ к файлу из системы отсутствует." 

Ссылка на сообщение
Поделиться на другие сайты

пустить то пустил, но даже так не дал открыть, все равно закрывается

может есть вариант просто отформатировать его? я пытался уе, но меня и туда не пускает, ценного все равно ничего нет, так что не жалко

Ссылка на сообщение
Поделиться на другие сайты

Просто отформатировать всегда успеете :)

 

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Пробуйте сначала в нормальном режиме. Если не получится, делайте в безопасном.

Ссылка на сообщение
Поделиться на другие сайты

файлы проверки, в обычном режиме не дал запустить

первый файл FRST, второй addition

hgfghfg.txt fdhgfh.txt

 

2 часа назад, Sandor сказал:

Поясните - вы файл со случайными именем скачали, пытаетесь его запустить в безопасном режиме и не получается, верно? Какую-то ошибку выдаёт

у меня приложение скачивается, но для одного из файлов выдаётся та же ошибка, нет доступа

Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполняйте в безопасном режиме.

 

  • Выделите следующий код:
    Start::
    HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe [44391440 2022-07-10] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer: [DisallowRun] 1
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5b50-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-896899419-845142301-3657638087-1001\...\MountPoints2: {640a5baf-06c7-11ed-b186-0c5415a9a3e8} - "E:\HiSuiteDownLoader.exe" 
    2022-07-14 20:43 - 2022-07-19 11:01 - 000000000 __SHD C:\ProgramData\WindowsTask
    2022-07-14 20:43 - 2022-07-14 20:45 - 000000000 __SHD C:\ProgramData\RealtekHD
    2022-07-14 20:43 - 2022-07-14 20:44 - 000000000 __SHD C:\ProgramData\Install
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 __SHD C:\ProgramData\RunDLL
    2022-07-14 20:43 - 2022-07-14 20:43 - 000000000 ___HD C:\Users\John
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Пробуйте в нормальном режиме запустить AVbr.exe

Ссылка на сообщение
Поделиться на другие сайты

Не спешите.

23 часа назад, Sandor сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером по правилам раздела.

Это сделайте.

Ссылка на сообщение
Поделиться на другие сайты

Вопрос: AVbr вы запускали в безопасном режиме или в нормальном?

 

Деинсталлируйте нежелательное ПО

Цитата

Bonjour

 

Затем удалите старые и соберите в нормальном режиме логи FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Danchik
      От Danchik
      Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?
    • DMiTR3PLAY
      От DMiTR3PLAY
      Добрый день.
      Столкнулся с проблемой: при запуске любых игр происходит падение FPS со 100 практически до 15.
      При этом, если открыть диспетчер задач, то FPS не просидает вовсе - держится стабильно.
      Подозреваю скрытый майнер.
      После проверки прогой Malwarebytes было выявлено несколько вредоносных файлов, некоторые из которых успешно были удалены, хотя и вручную, но не подозрительный элемент FINGERPRINT.exe.
      Папка с аналогичным именем постоянно создается в C:\Programdata\ после перезагрузки системы, игнорирует карантин Malwarebytes или антивирусы. После удаления вручную - создается заново при перезагрузке.
      Наличие данной папки и ее поведение вцелом наводит на мысли что это результат работы вредоносного скрипта.
      Прошу помощи в борьбе с заразой.
      CollectionLog-2022.06.29-23.31.zip
      Malwarebytes_scanlog.txt
    • Sarfalse
      От Sarfalse
      Здравствуйте, у меня такая же проблема. 
      Подойдет ли этот скрипт или нет? 
      Вот мой CollectionLog
       
      Сообщение от модератора thyrex Перенесено из темы CollectionLog-2022.06.24-14.33.zip
    • dirtyqsh
      От dirtyqsh
      Вчера поймал майнер с кривого репака, два процесса nt kernel грузили систему. По открытию расположения файла вели к несуществующим папкам. Стереть вроде смог, опасаюсь за остаточные файлы. 
      CollectionLog-2022.06.21-11.46.zip
    • Николай Вдовин
      От Николай Вдовин
      Хотел установить KIS22 скачав с официального сайта, при запуске выскакивает на короткое время окно установщика и закрывается. Проверил компьютер с помощью KVRT, в конце выбрал "нейтрализовать всё", перезагрузил компьютер. Попробовал запустить установщик KIS и в очередной раз та же ситуация с закрытием процесса (скорее всего майнер).
      На скринах результат работы KVRT.


      CollectionLog-2022.05.23-21.38.zip
×
×
  • Создать...