Перейти к содержанию
Правила раздела

[РЕШЕНО] Словил вирусы: PuzzleMedia, Mysql

Kamo. A.

Автор Kamo. A.,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Kamo. A.

Kamo. A. 0

Опубликовано
Опубликовано

Здравствуйте! Хотел зайти на сайт dropbox, но почему-то браузер не позволил мне этого сделать пытаясь понять из-за чего, наткнулся на информацию, что это может быть дело рук вирусов. Я скачал Kaspersky Security Cloud, чтобы проверить компьютер, однако программа установки сразу закрывалась, также происходило и с антивирусом 360. По итогу смог провести сканирование через RogueKiller, который показал наличие нескольких угроз, а именно: Mysql в папке Fonts, puzzleMedia в ProgramData, ByteFence в ProgramFiles (в поисковике выдается, что это антивирус, но я его не устанавливал и нигде его нет). После я провел сканирование через Dr. Web, но он их не определил. зато нашел rdpwrap.dill
 

CollectionLog-2023.01.29-17.48.zip

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);
 DeleteFile('C:\Users\Юзер\AppData\Roaming\python.exe','32');
 DeleteSchedulerTask('python.job');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('python');
ExecuteSysClean;
ExecuteRepair(13);
RebootWindows(false);
end.

 

Внимание! Будет выполнена перезагрузка компьютера.

 

Пофиксите следующие строчки в HiJackThis (используйте версию из папки Автологгера).

  

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте, запустите AVBR, прикрепите ее лог.

 

Деинсталлируйте 360 Total Security, запустив файл C:\Users\Юзер\AppData\Local\Temp\d7eb0e17ef8a6e3eb28e6e76bb57945f_remove360.bat от имени Администратора

 

Сделайте новые логи Автологгером. 
 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Kamo. A.

Kamo. A. 0

Опубликовано
  • Автор
Опубликовано

При запуске скрипта выскакивает данное сообщение

image.png

Оказалось, что не тот avz открыл, с другим сработало 

 

Отправляю лог AVBR:

AV_block_remove_2023.01.29-19.14.log

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже.
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано

Деинсталлируйте RogueKiller version 15.8.0.0

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt  в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

        
    CreateRestorePoint:
CloseProcesses:
Task: {0B8F9FA9-39D7-41B9-9B24-079C1EFBFD14} - \AMDRyzenMasterSDKTask -> Нет файла <==== ВНИМАНИЕ
Task: {32CAF9DD-B7DC-4D26-B2D7-2ECF416F56A0} - \StartCN -> Нет файла <==== ВНИМАНИЕ
Task: {4C064FE2-B968-4DA0-BE1C-C612A296D969} - \StartDVR -> Нет файла <==== ВНИМАНИЕ
2023-01-29 15:28 - 2023-01-29 15:28 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
2023-01-29 14:36 - 2023-01-29 15:06 - 000000000 ____D C:\ProgramData\RogueKiller
2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
2023-01-29 14:36 - 2023-01-29 14:36 - 000000000 ____D C:\Program Files\RogueKiller
2023-01-29 13:07 - 2023-01-29 16:52 - 000000000 __SHD C:\$360Section
2023-01-29 13:06 - 2023-01-29 16:29 - 000000000 ____D C:\Users\Юзер\AppData\Roaming\360DesktopLite
2023-01-29 19:17 - 2022-09-17 14:39 - 000000000 ____D C:\Program Files\RDP Wrapper
FirewallRules: [UDP Query User{ADD14809-8F9B-48F9-8725-A4ECF28B7A4E}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
FirewallRules: [TCP Query User{4C0CCB96-5C81-460E-9CF2-FDDBCCF8A6EB}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
FirewallRules: [UDP Query User{BFA41FBB-3B11-4B56-83F6-4EF9FDD6C2DC}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
FirewallRules: [TCP Query User{A6CBD118-9CE9-4E12-8D4B-DBFA29622D2B}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-x64\bin\javaw.exe
FirewallRules: [{CDCA4C0D-02C7-4A02-BFF0-0BA2752D8D01}] => (Allow) C:\Users\Юзер\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла
FirewallRules: [TCP Query User{A3382D7B-DFA2-4707-91C5-D386E2839638}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
FirewallRules: [UDP Query User{10986389-A4B9-40BE-9810-2071ABF8F6D9}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
FirewallRules: [TCP Query User{B20D86B2-297F-4FD0-9855-95B4749FAF31}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
FirewallRules: [UDP Query User{8BD20540-76D1-41DD-8562-1AD4F503AA13}C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe] => (Allow) C:\users\юзер\appdata\roaming\minecraft launcher\runtime\jre-legacy\windows-x64\jre-legacy\bin\javaw.exe
FirewallRules: [TCP Query User{D0CCFC4C-BA2C-46CA-AE4C-01F421C14BCA}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{6B811DBA-13C1-4048-BE24-DF5693B5610F}C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe] => (Allow) C:\users\юзер\amadeusrpg\updates\jre-8u202-win64\bin\javaw.exe => Нет файла
FirewallRules: [{4ED1037E-D4A8-405F-B229-EAED8B0539CC}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{BDF345CD-FE11-446C-B25B-30CC0559CA96}] => (Allow) C:\Games\360\Total Security\360TsLiveUpd.exe => Нет файла


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Kamo. A.

Kamo. A. 0

Опубликовано
  • Автор
Опубликовано

На сайт DropBox вход свободный, сейчас запустил полное сканирование, ожидаю результаты

 

Большое спасибо! Очень помогли!

image.png

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано

  1. Для удаления утилит, которые использовались в лечении скачайте DelFix и сохраните утилиту на Рабочем столе
  2. Запустите DelFix

     

    Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да

     

  3. В открывшемся окне программы поставьте галочки напротив пунктов Remove desinfection tools и Create registry backup

  4. Нажмите на кнопку Run

 

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда  и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
Kamo. A.

Kamo. A. 0

Опубликовано
  • Автор
Опубликовано (изменено)

Прошу прощения за долгий ответ, был в уезде и доступа к аппарату не было, сделал по инструкции.

SecurityCheck.txt DelFix.txt

Изменено пользователем Kamo. A.
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 051

Опубликовано
Опубликовано

Обновите:

 

AMD Software v.21.10.2 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.311 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 321 (64-bit) v.8.0.3210.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Egor4ik
      Возможно словил майнер
      От Egor4ik
      Возможно словил майнер. В играх максимум 70-80 фпс, а было 300-400.
      CollectionLog-2023.03.26-04.46.zip
    • nick16000
      Поймал вирус майнер
      От nick16000
      Пожалуйста, дайте инструкцию к действиям. Все форумы и сайты с компьютера не открываются, пишу с телефона. KVRT не запускается.
    • Fronten
      Майнер AMD.exe
      От Fronten
      Добрый день.
      Увидел в диспетчере задач 3 процесса AMD.exe, которые использовали 10 гб ОЗУ, не открывались некоторые сайты и так далее.

      Запустил автологгер по инструкции в безопасном режиме, он, судя по всему, майнер удалил, AMD.exe уже в диспетчере не видно, но хотелось бы быть уверенным, что проблема точно решена. Вот все нужные логи.  
      AV_block_remove_2023.03.16-17.01.log FRST.zip
    • notyler
      Майнер PuzzleMedia
      От notyler
      Приветствую, уважаемая команда сайта и хелперы (вообще удивился и рад, что подобные форумы существуют и процветают)
      Проблема типичная, после установки игры установились майнеры и трояны. Пробовал сам решить проблему через несколько итераций с Rescue Disk и Dr. Web LiveDisk, FRST64 (исправлял через fixlist установки, которые были произвел вирус 10.03.2023 в 00:31). Также, сканировал программами Zenma, HitmanPro, RogueKiller, Malwarebytes - некоторые из них находили все зараженные файлы, но после перезагрузки удаления не происходит и всё возвращается. Проверку делал и утилитами из руководства, но они увидели только неактивный программу для майнинга, которую я давно и из проверенных источников устанавливал сам.
      Прикрепляю логи CollectionLog-2023.03.12-15.02.zip и надеюсь на Вашу помощь! Спасибо заранее!
       
    • efchik1
      Поймал майнера
      От efchik1
      Здравствуйте! Качал программу для восстановления фото, по всей видимости подцепил вирус, не могу определить название файл и ни один антивирус не находит ошибок, доктор веб, касперский, есет
      Также устанавливал все антивирусы и программы для чистки (рег органайзер и ссleaner) через внешний носитель, так как через браузер просто не даёт зайти на сайт
      Ноутбук постоянно греется
      Пробовал откатиться на точки восстановления, выдаёт ошибку 
      Также, начались просадки в доте по фпс и зависает программа для написания музыки 
      В диспетчере задач ЦП поднимается до 100 при всех закрытых приложениях 
       
      CollectionLog-2023.03.10-00.54.zip
×
×
  • Создать...