Перейти к содержанию
Правила раздела

[РЕШЕНО] Заражение майнером HEUR: Trojan.Scvript.miner.gen

Tyralion

Автор Tyralion,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Tyralion

Tyralion 0

Опубликовано
Опубликовано

Здравствуйте!

 

Подцепил майнер. Не открывался браузер и антивирус. Нашел похожу тему здесь на форуме. Через безопасный режим открыл касперского, просканил, обнаружил троян с именем как в заголовке. Потом через утилиту AVZ удалил неизвестного пользователя John. Вроде как сейчас нагрузки на проц нет, но антивирус почему-то так и не открывается (теперь не вылетает никакой ошибки, просто ничего не происходит). 

 

Можно ли что-то сделать?

Вот отчеты программы AVZ

AV_block_remove_2022.10.19-14.59.log AV_block_remove_2022.10.19-15.01.log

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

 

"Пофиксите" в HijackThis только следующее: 

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\RealtekHD\taskhost.exe (file missing)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Tyralion

Tyralion 0

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

Почему-то не могу найти эти строки в Hijack (поиск не находит и так вручную тоже не нашел). Я уже после того как выложил первый отчет ещё раз запустил Kaspersky Virus Removal Tool чтобы проверить не найдет ли он ещё вирусов. Я так понял что это было зря и поэтому этих строчек нет? Если это так - мои извинения :(

 

Прикрепляю отчет который только что сделал.

CollectionLog-2022.10.19-18.38.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1D2E534F-99F2-4EFC-9CF5-7D98683C473D} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ
Task: {8B848569-264E-492C-875D-5645FA35BD62} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {9FCD7587-6053-432D-A4CA-DB659D8DE099} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {EA4B43B5-65C5-4A77-BD48-CF991E74BF4B} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/7993/","hxxp://ru.msn.com/?pc=UP21&ocid=UP21DHP&dt=010213"
C:\Users\Tyralion\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
AlternateDataStreams: C:\ProgramData:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\ProgramData:iSpring Solutions [140]
AlternateDataStreams: C:\ProgramData:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\All Users:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [140]
AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Solutions [140]
AlternateDataStreams: C:\Users\Все пользователи:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [140]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Solutions [140]
AlternateDataStreams: C:\Users\Tyralion\Application Data:iSpring Suite 8 Ru [128]
AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Presenter 8 Ru [128]
AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Solutions [140]
AlternateDataStreams: C:\Users\Tyralion\AppData\Roaming:iSpring Suite 8 Ru [128]
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
cmd: winmgmt /salvagerepository
cmd: winmgmt /verifyrepository
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано
5 часов назад, Tyralion сказал:

антивирус почему-то так и не открывается

Сейчас тоже не открывается?

Кстати, он у вас устаревший, актуальная версия 11.10

Ссылка на сообщение
Поделиться на другие сайты
Tyralion

Tyralion 0

Опубликовано
  • Автор
Опубликовано

К сожалению, так и не открывается.

 

Точно также при попытке запуска идет какая-то загрузка (рядом с курсором кружок появляется) и потом все.

 

Возможно надо переустановить?

 

Ссылка на сообщение
Поделиться на другие сайты
Tyralion

Tyralion 0

Опубликовано
  • Автор
Опубликовано

Переустановил, теперь запускается!

 

В остальном от всей заразы удалось избавится, как я понимаю?)

 

Огромное спасибо за помощь!

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Да, и в том числе:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем
×
×
  • Создать...