Перейти к содержанию

Рекомендуемые сообщения

Сегодня заметил, что при открытии диспетчера задач на мгновение процесс "системные прерывания" нагружает цп на 100%,затем грузит на доли процентов. Cure It! не помог, прогуглил и понял, что установил майнер. При открытии расположения файла процесса Realtek, проводник и диспетчер задач сразу закрываются, в папке C:\ProgramData также есть папка Avira, хотя антивирусов на компьютере не установлено.  

CollectionLog-2023.01.02-02.45.zip

Ссылка на сообщение
Поделиться на другие сайты

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ClearQuarantine;
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe','');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe','');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe','');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe','');
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Realtek HD Audio','x64');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteFile('C:\ProgramData\windowstask\amd.exe','32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe','32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.
1. В заголовке письма напишите "Карантин".
2. В письме напишите ссылку на Вашу тему.
3. Прикрепите файл карантина и нажмите "Отправить"

Пофиксите следующие строчки в HiJackThis (Используйте HiJackThis из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте и запустите AVBR, прикрепите лог утилиты. 

 

Сделайте новые логи Автологгером. 
 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Добрый день. Тема закрыта в связи с отсутствием обратной связи от пользователя в течении продолжительного времени. Если проблема до сих пор актуальна, напишите личное сообщение модератору раздела для открытия темы. 

Ссылка на сообщение
Поделиться на другие сайты
  • mike 1 закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • mologa
      От mologa
      Здравствуйте.

      Что-то словил ПК, постоянно включен Kaspersky Total Security. При работе происходит загрузка процессора и возможно видеокарты, ощущаю это увеличением скорости всех кулеров, как только запускаю диспетчер задач загрузка видимо спадает и скорость кулеров нормализуется.
      Касперский ругается на C:\Users\Ivan\AppData\Roaming\Microsoft\Libs\ddb64.dll, удалить не может, not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen,
      а также на  C:\Users\Ivan\AppData\Roaming\Microsoft\Libs\sihost64.exe UDS:Trojan.Win64.Inject Касперский удаляет этот файл сразу
      Полную проверку делал, в безопасном режиме с помощью Dr.Web CureIt! удалил все эти файлы, но при обычном запуске через какое то время опять появляются.
      Помогите, пожалуйста, как от него избавиться.
      Заранее спасибо.
       
      CollectionLog-2023.01.30-20.07.zip
    • DeLucas
      От DeLucas
      Доброго времени суток! Помогая своему другу, который словил майнер (или как иначе называть «dark comet») я заметил, что все способы, которые я применял при схожих ситуациях, а именно закачка AdBlock Remover'а с последующим переименованием в Ad_Block.exe – моему другу не помогают.
      Я предугадал, что все дело либо в реестере, либо в логах (как там именно называется я не помню), мол вирус уже блокирует и данное название: «Ad_Block.exe». Я ему предложил переименовать вообще в что-то несвязанное, после этого AVbr наконец запустился и даже начал выполнять сканирование... как жаль что оно продлилось всего 1 минуту.
      С каждым днем его вирус, буквально, мутирует. Вчера его кол-во возможных запросов явно было лучше, а сегодня заметно сократился. Так же при запуске диспетчера задач ЦП у него загружен на 100%. 
      Я видел, что вы уже с этим боролись неоднократно, прошу помочь. 
    • sortagoth
      От sortagoth
      Вчера после скачивания пиратской игры Касперский обнаружил несколько троянов и успешно смог устранить только некоторые из них. При повторной проверке в Dr.Web некоторые из них были снова обнаружены и (казалось бы) удалены, но через какое-то время они снова появились. RogueKiller удалил их, но нашел скрытые файлы PuzzleMedia и Fonts/MySql. К сожалению, удалить их не предоставляется возможным. Прошу помочь с устранением проблемы.
      CollectionLog-2023.01.16-17.29.zip
    • Rufus
      От Rufus
      Здравствуйте, словил Майнер на компьютере, программа avbr даже после переименования закрывается автоматически во время сканирования.
    • Денчик
      От Денчик
      Доброго времени суток!
      Обнаружил прорву вирусов в исключениях защитника windows, не удаляются хоть и кнопка доступна. Вирусы блокируют поиск антивирусов, закрывают диспетчер задач, Грузят проц. блокируют работу KVRT.
      Через запуск Rkill смог запустить KVRT который находит майнеров но что бы я с ними не делал, они не удаляются и при повторном сканировании он опять их находит.(за целый день таких сканирований никаких изменений).
      Скачал AutoLogger, запустил по инструкции, после открытия браузеров прога закрывается, а в папке с ней есть только такие файлы как на скрине ниже.
      И еще скрины добавлю какие файлы есть в защитнике, проверял все и не один не удаляется.
      Так как сам в П.О. не разбираюсь от слова совсем то не знаю что делать, из вариантов остались этот сайт или полная переустановка.
      Заранее спасибо!






×
×
  • Создать...