Перейти к содержанию

Не запускается KIS из-за майнера


Рекомендуемые сообщения

Добрый день! Подцепил вирус, с KMS, хотел активировать Office. Брал здесь: удалено.
Вначале не запускался Kaspersky KIS. Переустановка KIS тоже не удалась.Конфиг старый (2013 года), HDD старые и битые, поэтому тормоза списывал на старость железа заметил не сразу, а вот закрытие браузеров и диспетчера задач было признаком, что скорее свего вирус-майнер.
Кстати, Victoria 5.37.2 c оффсайта стала запускаться тоже через раз, может как-то связано. Что было сделано.
У приятеля записал болванку с DrWeb CureIt, KVRT, avz, и AVbr два разных установщика (один для безопасного записал, второй для обычного).
Итог: KVRT не запускается даже с cd-диска пишет: Операция отклонена, вследствии действующих для компьютера ограничений. Обратитесь к администратору сети. Dr.Web CrIt в безопасном режиме нашёл Trojan.AutoIt.1128 в C:\programdata\realtekhd\taskhostw.exe .
Прошёлся avz в безопасном режиме, есть логи, затем в безопасном AVbr. Затем новый установщик Avbr прошелся в обычном режиме. Логи есть, но не знаю как безопасно скинуть, так как KIS не запускается, а без него лезть в интернет боязно. Мучаюсь больше недели. Флешку вставлять не хочется, чтобы с рабочего компа загружать логи, мало ли что могу с флешкой занести, да и комп по сути "лежит", сейчас пишу с чужого ноута. Как можно запустить KIS, чтобы продолжить дальнейшее лечение: выложить в теме логи, и не нацеплять ещё вирусов?

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте ссылки на вредоносные файлы и варез.
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Прочтите Порядок оформления запроса о помощи

Скачайте на этом чужом компьютере Автологер, запустите его на пострадавшем. Только нужно запускать не с CD-диска, а с жёсткого.

Полученный архив CollecIionLog перенесите флешкой (ничего страшного не случится).

Прикрепите этот архив к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Пардон за тупость: какой из них скачать, который в т.ч. для  WinXP, вроде обновляемый, а второй совсем старый

https://www.safezone.cc/resources/autologger-regist-drongo-for-xp.221/ ,

https://www.safezone.cc/resources/autologger-regist-drongo.59/updates#resource-update-622

Ссылка на комментарий
Поделиться на другие сайты

У вас ведь не WinXP, полагаю. Значит качайте обычный. Там указана дата серьёзных изменений, а так он обновляется ежедневно.

Ссылка на комментарий
Поделиться на другие сайты

3 часа назад, Sandor сказал:

Здравствуйте!

 

Прочтите Порядок оформления запроса о помощи

Скачайте на этом чужом компьютере Автологер, запустите его на пострадавшем. Только нужно запускать не с CD-диска, а с жёсткого.

Полученный архив CollecIionLog перенесите флешкой (ничего страшного не случится).

Прикрепите этот архив к следующему сообщению.

 

CollectionLog-2022.10.18-21.58.zip

Ссылка на комментарий
Поделиться на другие сайты

Не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Автозапуском не запускается, вручную грузится минут пять, потом окно пропадает. Диспетчер задач работает нормально, уже не сбрасывается.

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте его удалить через Панель задач - Удаление программ.

Затем скачайте и установите заново.

 

Результат сообщите.

Ссылка на комментарий
Поделиться на другие сайты

Уже пробовал до этого, но для верности ещё раз попробовал, результат один: выполняется подготовка к установке программы, подождите.... окно висит.

Кстати, вопрос. У меня в этой "калешной" винде после вируса виснит Victoria и с ней новый жесткий диск: впроцессе лечения с отправкой логов и прочего, случайно в винде нажал вместо утилиты FRST64 на викторию, и САМА(!) виктория зависла: красный диод чтения диска горит, а виктория не завершается в диспетчере задач, и компьютер не завершает работу, но в остальном система реагирует. Проверил в безопасном режиме. Виктория работает, смарт грузится, ничего не виснет. Может это важно?

Ещё вопрос, после лечения по рекомендациям в данной теме утилитой avz, DrWeb Cure IT и KVRT нашли в папке "карантин" в avz вирусы. По умолчанию они были обезврежены. Они точно обезвределись?

Ссылка на комментарий
Поделиться на другие сайты

Они были безвредны уже в папке карантина AVZ.

 

Поступим так. Судя по логам, вы уже запускали AVbr. Сделайте это ещё раз:

 

Скачайте заново AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
    • Milink
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • searing
      Автор searing
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock, с обфусцированным js кодом. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами doctor web cureit и malwarebytes - не помогло. CollectionLog-2025.07.04-05.50.zip
×
×
  • Создать...