Перейти к содержанию

Рекомендуемые сообщения

Добрый день.
Увидел в диспетчере задач 3 процесса AMD.exe, которые использовали 10 гб ОЗУ, не открывались некоторые сайты и так далее.

Запустил автологгер по инструкции в безопасном режиме, он, судя по всему, майнер удалил, AMD.exe уже в диспетчере не видно, но хотелось бы быть уверенным, что проблема точно решена. Вот все нужные логи.  

AV_block_remove_2023.03.16-17.01.log FRST.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Запустите ещё раз AVbr, но уже в нормальном (не в безопасном) режиме.

После перезагрузки покажите новый его отчёт.

 

Затем соберите CollectionLog Автологером (как указано в правилах).

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, Sandor сказал:

Здравствуйте!

 

Запустите ещё раз AVbr, но уже в нормальном (не в безопасном) режиме.

После перезагрузки покажите новый его отчёт.

 

Затем соберите CollectionLog Автологером (как указано в правилах).

Здравствуйте, вот логи. 

AV_block_remove_2023.03.17-18.54.log CollectionLog-2023.03.17-18.59.zip

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\system32\unsecapp.exe');
 QuarantineFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('c:\windows\system32\unsecapp.exe', '');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно соберите новые логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    Task: {052D9C8C-87C1-479D-B68D-FA0E527B5D9D} - System32\Tasks\Browserupdphenix => C:\Users\ckoib\AppData\Local\Browserupdphenix\Browserupdphenix.exe --s=3E42C952BA45B81F320AFBAC979BDB914DF821C2F6F19AFABCB2A43FA7CFFBC16E033541C964399C20799B7F24 --id=1 --sub-id=432 (Нет файла) <==== ВНИМАНИЕ
    Task: {C6C367A2-8B6C-423D-ACBF-6A7357F93944} - System32\Tasks\MailRuUpdater => C:\Users\ckoib\AppData\Local\Mail.Ru\MailRuUpdater.exe --check (Нет файла) <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxps://mail.ru/cnt/10445?gp=812209"
    C:\Users\ckoib\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
    VIV DefaultSearchURL: Default -> hxxps://inline.go.mail.ru/search?inline_comp=chxtnhp15.1.4.3&q={searchTerms}&fr=chxtnhp15.1.4.3
    VIV DefaultSearchKeyword: Default -> inline.go.mail.ru
    VIV DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
    C:\Users\ckoib\AppData\Local\Vivaldi\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
    AV: Kaspersky Small Office Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066}
    FW: Kaspersky Small Office Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    AlternateDataStreams: C:\Users\ckoib\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\ckoib\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
    FirewallRules: [{FA9237B4-1EF0-4741-8C22-FDE1B57A7B1F}] => (Allow) LPort=80
    FirewallRules: [{F1FC6497-8F08-461F-B850-5C6612516A9D}] => (Allow) LPort=80
    FirewallRules: [{E87E31B5-370C-4DA2-95A6-D0C29C41FA45}] => (Allow) LPort=443
    FirewallRules: [{E1AFFCBC-37B8-4C96-872E-7CF7E955B71F}] => (Allow) LPort=443
    FirewallRules: [{DEEAB2F9-1F46-43B1-BF77-72F570C8372F}] => (Allow) LPort=20010
    FirewallRules: [{84E2A832-5631-4179-90A5-F86B37CF27E7}] => (Allow) LPort=20010
    FirewallRules: [{D250599D-813E-452A-8369-3BBF1348A5AD}] => (Allow) LPort=3478
    FirewallRules: [{F0B7C139-2B49-4F11-B6B6-1FA1B7A6062D}] => (Allow) LPort=3478
    FirewallRules: [{43296352-9B81-4F46-A67A-3CE6D136833B}] => (Allow) LPort=7850
    FirewallRules: [{D8CBD4B3-8831-47E1-A1E7-8B6B68AD3B70}] => (Allow) LPort=7850
    FirewallRules: [{695F5A73-33FE-4608-A4B5-8BC0C1F67D35}] => (Allow) LPort=7852
    FirewallRules: [{C7E6510A-0173-4634-934B-6B1B6E430197}] => (Allow) LPort=7852
    FirewallRules: [{A171F069-75B5-4148-8A1C-2BDAE9B50E57}] => (Allow) LPort=7853
    FirewallRules: [{4112E0EB-E409-4035-8492-4DFFE081A0A2}] => (Allow) LPort=7853
    FirewallRules: [{A3921826-0FE9-48D3-8A6A-B032C1138E6D}] => (Allow) LPort=27022
    FirewallRules: [{426F879B-9FA9-4417-8D04-562A8CE52FA7}] => (Allow) LPort=27022
    FirewallRules: [{9701FAA7-5B60-4A61-84B0-2E7F87CDBEA7}] => (Allow) LPort=6881
    FirewallRules: [{3C04C095-5029-4912-A74F-326F16E8A389}] => (Allow) LPort=6881
    FirewallRules: [{4366230E-5636-49F7-8200-C88D0116F9E4}] => (Allow) LPort=33333
    FirewallRules: [{AEAAE749-F4B6-43CD-A2BD-49200D3F515F}] => (Allow) LPort=33333
    FirewallRules: [{6DA75F8B-9018-403E-8981-CC9882A314E9}] => (Allow) LPort=20443
    FirewallRules: [{257EB4E4-1258-440D-8252-EFCD27F6C348}] => (Allow) LPort=20443
    FirewallRules: [{AB2EDA6D-24C6-4507-A04E-DFCCCB05E3B0}] => (Allow) LPort=8090
    FirewallRules: [{F45CC30D-28A5-4DD1-A9ED-C0867A6C5F7B}] => (Allow) LPort=8090
    FirewallRules: [{F1BB53A7-4B75-48D0-A55F-F857F09B222D}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{56E9DE05-EA9A-4C23-B85B-6D6C22002AD4}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{76BAA283-2AE6-4889-92B5-56C3FC6FF3D9}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{4C5417A2-A01D-4C13-B7DC-F4076930ED42}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
    FirewallRules: [{7C37DC74-3F2E-4BB5-BE5D-FBCFCA3FFEA8}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
    FirewallRules: [{E5A498F0-12B4-4162-8AEC-6EEFC1926157}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
    FirewallRules: [{40F7B5A5-F7F8-4F6E-8FB1-AA9FE32E40E9}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    FirewallRules: [{D22D0D28-919E-41DC-B8B9-6FE55D7E9076}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отлично, завершаем:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Ezikeil
      От Ezikeil
      В начале мая поймал майнер "John", блокировал доступ к AMD Software и нагружал видеокарту, почистил пк через: Dr.Web CurеIt!, kaspersky removal tool, Avz, AV block remover (AVbr) почистил вручную localhost, вручную удалял папки который майнер насоздавал в Program data и вроде как удалил майнер. Смущает что Avz ругается на перехватку каких то методов. 
      CollectionLog-2024.06.16-00.16.zip HiJackThis.log avz_log.txt Addition.txt FRST.txt
    • zeuslody
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
×
×
  • Создать...