Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер

sannybrooks

От sannybrooks
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sannybrooks Новичок

sannybrooks

Опубликовано
  • Автор
Опубликовано

Поймал майнер. Жалко сносить систему, поэтому стал гуглить, на каком-то форуме нашел краткую инструкцию лечения через AV_block_remover. После использования проги сильная нагрузка на ноут ушла, удалился пользователь "John" и убился процесс taskhostw и audiodg. Но, по моему, какие-то хвосты остались, ибо винда как-то подозрительно работает. Какие-то звуки уведомлений, при старте системы на доли секунды показывается окно cmd. да и в сон ноут не уходит, т.к. что-то постоянно работает в скрытом режиме.

CollectionLog-2022.12.13-20.47.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
ExecuteSysClean;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены как на картинке.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
FirewallRules: [TCP Query User{20DA35AA-26C2-449E-8646-813D8F37D492}C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [UDP Query User{262D2C6B-2E7F-4495-89C5-081BA499DAF6}C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [TCP Query User{0567AB20-95D3-4772-BC07-032A4A3B58FC}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{F23CF94F-80BA-44BA-AC4E-0ACEA4EB1CD8}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{243D097A-C742-44E6-B4E8-E4F60ACB032A}C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [UDP Query User{2E7F2EAB-FBBD-4472-AE8E-451ECF63BDD9}C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [TCP Query User{2AC01CFA-2D1C-4EFE-ADCC-ACCA2E880DF7}D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [UDP Query User{AD20D48E-4F51-4029-AF7A-F1B787CAD375}D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [{E72E73D4-FB19-4AED-B111-19B338B86784}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{031D8FB0-5D9E-4DAD-9B79-102779CC78D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AD0C9DC6-49BD-45DC-B800-C896112B13D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0937DBB9-9B78-4E47-9F0D-11EFE41FD4A6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AF6461A3-FB0F-457F-85FF-E4D108C03E1E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4A33512F-BB29-44E9-BBD5-435A8850C48A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да


  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run


 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на комментарий
Поделиться на другие сайты
  • 4 weeks later...
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Flawor_Swift
      [РЕШЕНО] Подозрение на майнер
      От Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Medoed Stepa
      Поймал "умный" ,скрытый майнер
      От Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • kudyukovn
      [РЕШЕНО] Вирус / Майнер
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • Helixx
      [РЕШЕНО] Поймал MEM:Trojan.Win32.SEPEH.gen
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      [РЕШЕНО] Поймал Trojan.Win32.SEPEH.gen
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
×
×
  • Создать...