Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер

sannybrooks

От sannybrooks
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

sannybrooks Новичок

sannybrooks

Опубликовано
  • Автор
Опубликовано

Поймал майнер. Жалко сносить систему, поэтому стал гуглить, на каком-то форуме нашел краткую инструкцию лечения через AV_block_remover. После использования проги сильная нагрузка на ноут ушла, удалился пользователь "John" и убился процесс taskhostw и audiodg. Но, по моему, какие-то хвосты остались, ибо винда как-то подозрительно работает. Какие-то звуки уведомлений, при старте системы на доли секунды показывается окно cmd. да и в сон ноут не уходит, т.к. что-то постоянно работает в скрытом режиме.

CollectionLog-2022.12.13-20.47.zip

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано (изменено)

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
ExecuteSysClean;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера.

 

Сделайте новые логи Автологгером. 
 

Изменено пользователем mike 1
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены как на картинке.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
FirewallRules: [TCP Query User{20DA35AA-26C2-449E-8646-813D8F37D492}C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [UDP Query User{262D2C6B-2E7F-4495-89C5-081BA499DAF6}C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\msi-note\appdata\roaming\utorrent\utorrent.exe (BitTorrent Inc -> BitTorrent Inc.)
FirewallRules: [TCP Query User{0567AB20-95D3-4772-BC07-032A4A3B58FC}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{F23CF94F-80BA-44BA-AC4E-0ACEA4EB1CD8}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{243D097A-C742-44E6-B4E8-E4F60ACB032A}C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [UDP Query User{2E7F2EAB-FBBD-4472-AE8E-451ECF63BDD9}C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) C:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [TCP Query User{2AC01CFA-2D1C-4EFE-ADCC-ACCA2E880DF7}D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [UDP Query User{AD20D48E-4F51-4029-AF7A-F1B787CAD375}D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe] => (Allow) D:\games\call of duty modern warfare 2 campaign remastered\mw2cr.exe => Нет файла
FirewallRules: [{E72E73D4-FB19-4AED-B111-19B338B86784}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{031D8FB0-5D9E-4DAD-9B79-102779CC78D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AD0C9DC6-49BD-45DC-B800-C896112B13D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0937DBB9-9B78-4E47-9F0D-11EFE41FD4A6}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{AF6461A3-FB0F-457F-85FF-E4D108C03E1E}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{4A33512F-BB29-44E9-BBD5-435A8850C48A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла



  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на комментарий
Поделиться на другие сайты
mike 1 Мудрец

mike 1

Опубликовано
Опубликовано

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да


  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run


 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме

Ссылка на комментарий
Поделиться на другие сайты
  • 4 weeks later...
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Мелькор
      Поймал майнера
      От Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
    • ZombOs
      Майнер на компьютере
      От ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
    • Holo_Yolo
      [РЕШЕНО] Проблемы после майнера
      От Holo_Yolo
      Здравствуйте, проблема такая, после удаления майнера и процедуры лечения всё вернулось в норму, но перестала обновляться Windows 
      Так же были проблемы с запуском некоторых команд в командной строке, но их исправил путём удаления из реестра 
      Фото ошибки прилагаю 

    • DarkMeF
      Поймал майнер. Не могу своими силами устранить(
      От DarkMeF
      Добрый вечер. Словил майнер.

       
      по классике в общем. microsoftHost грузит. Но этот какой то жуткий. Вообще никуда не дает зайти. Даже system explorer блочит. можно увилеть разве что так
       

       
      Пожалуйста помогите)) 
      Логи прикрепил, надеюсь правильно
      CollectionLog-2025.01.04-23.11.zip
      Само собой пытался удалять, но он сразу восстает
    • ванькаветер
      [РЕШЕНО] Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
×
×
  • Создать...