[РЕШЕНО] Остатки майнера PuzzleMedia

[TehMan55 0]

При установке пиратской игры поймал майнер. С помощью RogueKiller, замены файла hosts и ручного удаления найденых папок устранил основную проблему загрузки CPU и самозакрывающихся приложений, однако антивирусы до сих пор определяют невидимые файлы c:\ProgramData\PuzzleMedia, Fonts\Mysql и заблокирован запуск многих антивирусов и других програм (KVRT,FRST64). Хотелось бы избавиться. спасибо. 

CollectionLog-2023.01.15-00.36.zip

Изменено 14 января, 2023 пользователем TehMan55

[mike 1 1 032]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

 

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите лог AV_block_remove_дата-время.log работы утилиты.

 

Сделайте новые логи Автологгером. 

[TehMan55 0]

CollectionLog-2023.01.15-01.29.zip AV_block_remove_2023.01.15-01.24.log

[mike 1 1 032]

Скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[TehMan55 0]

FRST.txt Addition.txt

[mike 1 1 032]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    

   SystemRestore: On
   CreateRestorePoint:
   CloseProcesses:
   Edge StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://vk.com/feed","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://www.istartpageing.com/?type=hp&ts=1456859138&z=e70c91098cfdd5a7cf6edebg1zcwbq8b6q5ocm8c4z&from=cmi&uid=WDCXWD7500BPKT-22PK4T0_WD-WXJ1E23DVAW9DVAW9","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://mail.ru/cnt/10445?gp=818410","hxxp://mail.ru/cnt/10445?gp=855104","hxxp://mypoisk.su/"
   CHR StartupUrls: Default -> "hxxps://www.google.ru/","hxxp://vk.com/feed","hxxps://www.google.com/","hxxp://mail.ru/cnt/10445?gp=mp4","hxxp://mail.ru/cnt/10445?gp=821268","hxxp://www.istartpageing.com/?type=hp&ts=1456859138&z=e70c91098cfdd5a7cf6edebg1zcwbq8b6q5ocm8c4z&from=cmi&uid=WDCXWD7500BPKT-22PK4T0_WD-WXJ1E23DVAW9DVAW9","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://mail.ru/cnt/10445?gp=820473","hxxp://mail.ru/cnt/10445?gp=821647","hxxp://mail.ru/cnt/10445?gp=818410","hxxp://mail.ru/cnt/10445?gp=855104","hxxp://mypoisk.su/"

   
   
   

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
   

4. Обратите внимание, что компьютер будет перезагружен.
   

5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму
   

[TehMan55 0]

Архив не создавался

Fixlog.txt

[mike 1 1 032]

Что с проблемой?

[TehMan55 0]

Ни одного вируса не обнаруживается, антивирусы и другие программы отлично открываются. Большое вам спасибо! 

[mike 1 1 032]

1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
2. Запустите DelFix

    

   Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
   

3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup
   

4. Нажмите на кнопку Run
   

 

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24   отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[TehMan55 0]

DelFix.txt SecurityCheck.txt

[mike 1 1 032]

Обновите:

 

NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
IrfanView 4.60 (64-bit) v.4.60 Внимание! Скачать обновления
Telegram Desktop v.4.4.1 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5.0-I601 amd64 v.2.5.019 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.109.0.5414.74 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

Для информации:

 

QuickTime 7 v.7.79.80.95 - Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности. Рекомендуется деинсталлировать данное ПО.

[mike 1 1 032]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".