3545firego 0 Опубликовано 21 января Share Опубликовано 21 января Добрый день. Забылся, что у меня нет антивируса на ПК. Из-за необходимости по работе лазил по разным сайтам, проверял много чего. Как итог: нахватался кучи вирусов. До такого состояния, что антивирусы не мог ни скачать, ни установить. Кое-как спас Kaspersky Virus Removal Tool. Однако, он нашёл 5 майнеров которые удалить не смог. Вот ссылка на тему, которая мне почти помогла: https://forum.kasperskyclub.ru/topic/176865-resheno-lechenie-majnerov-risktoolwin32bitcoinmineromqt-udstrojanwin32minerbbyol-heurtrojanscriptminergen/ Я застрял на этапе с FRST. Требуется помощь с тем, какой код и куда вставлять. Дополнительно прилагаю с FRST последние сканы. Систему подчистил, использовав 3 раза KVRT. По сути, остались одни майнеры. Ставить антивирус касперского сразу не стал, чтобы другие утилиты не шалили. FRSTPlusAddition.rar Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1623 Опубликовано 21 января Share Опубликовано 21 января Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 21 января Автор Share Опубликовано 21 января CollectionLog-2023.01.21-21.44.zip Вот, дополнительно прикрепляю ещё автологгера Ссылка на сообщение Поделиться на другие сайты
thyrex 1357 Опубликовано 21 января Share Опубликовано 21 января (изменено) Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck'); DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck'); DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck'); DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck'); DeleteSchedulerTask('Ultimate Eraser Update Task-S-1-5-21-743808302-1586529477-580530747-1001'); DeleteFile('C:\Users\LittleFlame\AppData\Local\Programs\asevcuk865\a2ef3badda.msi','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) O22 - Tasks_Migrated: (disabled) \S-1-5-21-743808302-1586529477-580530747-1001\DataSenseLiveTileTask - C:\WINDOWS\System32\DataUsageLiveTileTask.exe O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentFallBack2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (file missing) O22 - Tasks_Migrated: (telemetry) \Microsoft\Office\OfficeTelemetryAgentLogOn2016 - C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload (file missing) O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe O22 - Tasks_Migrated: (telemetry) NvTmRep_CrashReport4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvBackend\NvTmRep.exe O22 - Tasks_Migrated: \cFos\Registration Tasks\Open Browser - c:\users\littleflame\appdata\local\programs\opera gx\launcher.exe "https://www.cfos.de/ru/cfosspeed/documentation/status.htm?sw-11.06.2462&days=30" (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner - C:\WINDOWS\system32\mitigationscanner.exe (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdCacheMaintenance (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Cleanup - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdCleanup (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe Scan -ScheduleJob -ScanTrigger 55 -IdleScheduledJob (file missing) O22 - Tasks_Migrated: \Microsoft\Windows\Windows Defender\Windows Defender Verification - C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.2102.4-0\MpCmdRun.exe -IdleTask -TaskName WdVerification (file missing) O22 - Tasks_Migrated: AdobeGCInvoker-1.0 - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe -mode=scheduled O22 - Tasks_Migrated: DriverToolkit Autorun - B:\Program Files (x86)\DriverToolkit\DriverToolkit.exe --autorun (file missing) O22 - Tasks_Migrated: NvBatteryBoostCheckOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvBackend\NvBatteryBoostCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerBatteryBoostCheck.log O22 - Tasks_Migrated: NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe -d "C:\Program Files\NVIDIA Corporation\NvDriverUpdateCheck" -l 3 -f C:\ProgramData\NVIDIA\NvContainerDriverUpdateCheck.log O22 - Tasks_Migrated: NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe O22 - Tasks_Migrated: NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files (x86)\NVIDIA Corporation\NvNode\nvnodejslauncher.exe --launcher=TaskScheduler O22 - Tasks_Migrated: NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe O22 - Tasks_Migrated: NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} - C:\Program Files\NVIDIA Corporation\Update Core\NvProfileUpdater64.exe O22 - Tasks_Migrated: Opera GX scheduled assistant Autoupdate 1614954134 - C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\assistant" $(Arg0) (file missing) O22 - Tasks_Migrated: Opera GX scheduled Autoupdate 1607468784 - C:\Users\LittleFlame\AppData\Local\Programs\Opera GX\launcher.exe --scheduledautoupdate $(Arg0) (file missing) Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Изменено 22 января пользователем Sandor Поправил скрипт Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 21 января Автор Share Опубликовано 21 января При попытке выполнить самый первый скрипт, что вы мне дали, AVZ пишет: Ошибка скрипта: ';' expected, позиция [10:6] (В строчке a.msi) после последней буквы жалуется, что чего-то не хватает Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 22 января Автор Share Опубликовано 22 января По-прежнему ни в какую не могу запустить скрипт. Ошибка та же и ничего поделать не получается. Вставляемые значения успеха не приносят... Ссылка на сообщение Поделиться на другие сайты
Sandor 1104 Опубликовано 22 января Share Опубликовано 22 января Поправил, выполняйте. Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 22 января Автор Share Опубликовано 22 января Когда активировал первый скрипт: он не совсем адекватно заработал. Вместо того, чтобы появилось табло с "скрипт выполнен без ошибок" АВЗ вырубился. Просто закрылся спустя какое-то время. При попытке открыть его или сделать что-либо - доступ был заблокирован. Касперский антивирус обнаружил майнер, попытался его вылечить, и ПК в итоге перезагрузился. Попытался сделать всё через безопасный режим+сеть, но успех такой себе. Непонятный. В конце скрипта ПК начал перезагружаться, но словил синий экран смерти. Второй скрипт и HiJack отработали без проблем. В конце концов касперский всё ещё видел майнер, и порекомендовал мне его удалить, что я и сделал. Прилагаю новый лог: CollectionLog-2023.01.22-17.36.zip Выключил касперский, повторил действия. Прилагаю: Результат загрузки: 3545firego, Ваш карантин отправлен, спасибо! Имя карантин-а(ов) сообщите в теме: 2023.01.22_quarantine_5892911de91eedab1926941e99e74c3f.7zCollectionLog-2023.01.22-21.17.zip Вот свежий лог после повтора процедуры (успешной, на этот раз) Ссылка на сообщение Поделиться на другие сайты
thyrex 1357 Опубликовано 22 января Share Опубликовано 22 января Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 22 января Автор Share Опубликовано 22 января winrar.rarПрилагаю Хочу добавить, что заметил как снизилась работа интернета. Стало подолгу всё и везде грузить: игры, браузер, сайты. Пинг в дискорде начал держаться от 200 минимум Ссылка на сообщение Поделиться на другие сайты
Sandor 1104 Опубликовано 24 января Share Опубликовано 24 января Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {21C25DB1-A1A0-43FC-BB29-3A1EF9B86DA0} - \Microsoft\Windows\WindowsBackup\TaskCheck -> Нет файла <==== ВНИМАНИЕ Task: {50750642-A6F0-4403-9CD1-35FE513440FF} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ Task: {77C88305-8E8E-42E9-80D9-9F064B0CB4FE} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ Task: {82A50724-97D2-426B-B2AC-29C6D942B6A7} - \Microsoft\Windows\WindowsBackup\RealtekCheck -> Нет файла <==== ВНИМАНИЕ Edge HKLM-x32\...\Edge\Extension: [odbmjgikedenicicookngdckhkjbebpd] S2 Transmission; C:\Users\LittleFlame\AppData\Local\Programs\Transmission\transmission-qt.exe [1558232 2022-09-25] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ C:\Users\LittleFlame\AppData\Local\Programs\Transmission\ AlternateDataStreams: C:\ProgramData:err [1710] AlternateDataStreams: C:\WINDOWS\tracing:? [16] AlternateDataStreams: C:\Users\All Users:err [1710] AlternateDataStreams: C:\Users\Все пользователи:err [1710] AlternateDataStreams: C:\ProgramData\Application Data:err [1710] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [868] AlternateDataStreams: C:\Users\LittleFlame\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\LittleFlame\Application Data:4e35b1dc8c9945c0350efa7d3f4e737d [394] AlternateDataStreams: C:\Users\LittleFlame\Application Data:671890e017d8a4fb26004192461213ff [394] AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:4e35b1dc8c9945c0350efa7d3f4e737d [394] AlternateDataStreams: C:\Users\LittleFlame\AppData\Roaming:671890e017d8a4fb26004192461213ff [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5028] FirewallRules: [{97DB4621-7319-4E71-A3B7-B3CC0E70475D}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯桜則ㅗ攮數 => Нет файла FirewallRules: [{CDBF70B8-7DC3-40B5-9780-07116ABDECBE}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{B9B0F98B-5FB5-4652-800C-C113EE806639}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{1F96947E-D687-4949-9747-C0BB71CADA53}] => (Allow) 㩃啜敳獲䱜瑩汴䙥慬敭䅜灰慄慴剜慯業杮瑜捯乜硸⹌硥e => Нет файла FirewallRules: [{02666379-990E-42A1-B467-D3ACB89628EB}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{2CBD2003-45E7-4FF3-BFAE-3975F69D5447}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{994F028F-D196-466D-9A88-287FA5B244D4}] => (Block) LPort=445 FirewallRules: [{3C2A1EE0-4E3F-4461-8102-1A4A58CBBF7C}] => (Block) LPort=445 FirewallRules: [{06D7D803-46DC-49D4-9A08-D43B62007E65}] => (Block) LPort=139 FirewallRules: [{50B4D448-E25D-402E-A47D-3E0DA2292A60}] => (Block) LPort=139 FirewallRules: [{03B71AB2-9315-4C66-B5BA-53F0513FD993}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла FirewallRules: [{C0156F25-AAC7-4A72-838B-42C67A37C493}] => (Allow) LPort=3389 cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" cmd: del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*" EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 24 января Автор Share Опубликовано 24 января Всё выполнил, прилагаю ещё информацию: Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1104 Опубликовано 24 января Share Опубликовано 24 января Хорошо. Что сейчас с проблемой? Ссылка на сообщение Поделиться на другие сайты
3545firego 0 Опубликовано 24 января Автор Share Опубликовано 24 января Касперский ничего не видит, ПК работает быстро. С интернетом разобрался, скидывал параметры. Стало чутка лучше, но оставшаяся проблема осталась на стороне роутера. Вроде бы всё, но может могу что-то упускать? Ссылка на сообщение Поделиться на другие сайты
Sandor 1104 Опубликовано 24 января Share Опубликовано 24 января 1 минуту назад, 3545firego сказал: проблема осталась на стороне роутера Поясните, пожалуйста, что это значит? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения