Перейти к содержанию

[РЕШЕНО] Лечение майнеров RiskTool.Win32.BitCoinMiner.omqt, UDS:Trojan.Win32.Miner.bbyol, HEUR:Trojan.Script.Miner.gen


Сергей Гусаков

Рекомендуемые сообщения

Здравствуйте!
Прошу помочь в лечении системы от вирусов. Вчера столкнулся с майнерами, каюсь, потерял бдительность, загрузил непроверенное ПО. Спустя пару часов обнаружил, вирусы через Windows Task и RealtekHD (Taskhost.exe), а также AMD.exe, закрывали поиск утилит через браузер (сперва пробовал найти CureIt), а также закрывали диспетчер задач при попытке "убивать" процессы, вызывающие подозрения. В Windows Defender'е появились не вносимые мной исключения, которые нельзя убрать, скрытые папки на большую часть антивирусных систем с доступом от несуществующих пользователей с особыми разрешениями, и, как вишенка на торте, блокируется запуск любых антивирусных утилит с ошибкой "Ограничения" - "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору."
Через Edge удалось скачать и запустить (нажал "Открыть" вместо "Сохранить" в контекстном меню) CureIt, обнаружил вирусы, но лечение после диагностики не удалось - выбило синий экран. На форумах нашел информацию о KVRT, так же загрузил - утилита отправила вирусы в карантин. После этого загрузил Kaspersky Anti-Virus и AdGuard. Последующие сканирования ничего не обнаружили, однако проблемы с блокированием запуска утилит, неудаляемыми исключениями Defender'а и скрытыми папками в AppData и просто на диске C остаются.
Во вложениях логи CureIt, KVRT и AutoLogger.
Очень надеюсь на вашу помощь.

CollectionLog-2022.08.07-08.07.zip Reports.rar cureit.rar

Изменено пользователем Сергей Гусаков
Грамматика
Ссылка на комментарий
Поделиться на другие сайты

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером.
 

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Попробуйте в обычном режиме собрать такой лог.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Documents.rar
Вот, что получилось.

 

 

1 час назад, Сергей Гусаков сказал:

Documents.rar
Вот, что получилось.

 

Добавлю, что осталась проблема с исключениями в Windows Defender.

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
Task: {21428ABD-18A1-4503-8FBD-0B96A625282A} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
Task: {25BB470D-9651-4216-93AA-901E9735CB5D} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
Task: {4F38E3ED-820F-4989-927A-38593AF66ADC} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {DE77AF78-4A93-4D54-A96F-FCCA588EBD61} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Unlock: C:\Config.Msi
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Думаю, да. По крайней мере пока не наткнулся на какие-либо еще остатки майнера. Подскажите, пожалуйста, нужно ли что-то предпринимать с вирусом в карантине? Можно ли его оттуда удалять?

Ссылка на комментарий
Поделиться на другие сайты

Из карантина можете удалять.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Цитата

Microsoft Office Professional Plus 2019 - en-us v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Обновите по возможности, и на этом закончим.

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Flawor_Swift
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • kiperenok
      От kiperenok
      Добрый вечер ! Та же проблема. Выполнил первые 2 пункта со скриптами а AVZ. Вот файл карантина 2024.12.22_Quarantine_27237554ca4507fb7f620afc014cd433.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • thealebs
      От thealebs
      Доброго дня.
      Заметил определенную странность на ноуте-не одно из приложений не устанавливается по причине отсутствия прав администратора.
      Позже увидел в учетках еще одну запись -Jonh. в интернете нашел, что это майнер.
      скачал dr web, вроде как очистил всё, но проблема сохранилась+также учетная запись jonh не удалена.
    • November 11
      От November 11
      Я не знаю от куда появился майнер. Пк был не у меня какое-то время
      Но это точно что-то из этого так как начался сильный нагрев, а также сайты с антивирусом закрывает
      Доступа к сайту нет
      4.zip
×
×
  • Создать...