Поймал майнер, не получается удалить, закрывает браузер

[Temikst 1]

Всем привет, буквально пару дней назад увидел что в простое, а точнее услышал, в простое компьютер идет на взлет, сегодня же решил проверить и нашел майнер, пытался удалить своими силами, ну без успешно, прикреплю на всякий случай, фото сделанное с телефона, какие вирусы есть, а так же закрывает браузер как захожу на сайты антивирусы и т.д, логи прикрепил. 

CollectionLog-2023.04.10-19.18.zip

[Sandor 1 268]

Здравствуйте!

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[Temikst 1]

Только что, Sandor сказал:

Здравствуйте!

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Сейчас сделаю

[Sandor 1 268]

Не цитируйте, пожалуйста, полностью предыдущее сообщение (я итак получаю уведомления об ответе в этой теме). Пишите в нижнем поле быстрого ответа.

[Temikst 1]

Вот логи

CollectionLog-2023.04.10-19.32.zip AV_block_remove_2023.04.10-19.28.log

[Sandor 1 268]

Хорошо, уже должно полегчать. Но почистим некоторые хвосты и мусор.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Bonjour

 

 

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Temikst 1]

Всё сделал, кроме вот этого, его просто не было в списке: 

 

O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll

Addition.txt FRST.txt

 

решил проверить Dr Web Cureit и появилось два трояна 

[thyrex 1 486]

Они найдены в карантине AVZ. Делайте только то, о чём Вас попросили, а не занимайтесь самодеятельностью.

[Temikst 1]

ну пока всё сделано было)

[Sandor 1 268]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3528761164-2712922142-1041904294-1001\...\MountPoints2: {f3e80429-6325-11ed-b46d-d45d64d25906} - "E:\SISetup.exe" 
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  S3 hixtthbathet; \??\C:\Users\tema0\AppData\Local\Temp\hixtthbathettkdpru [X] <==== ВНИМАНИЕ
  S3 zawzwctoggob; \??\C:\Users\tema0\AppData\Local\Temp\zawzwctoggobyqwtmv [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\tema0\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\tema0\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Temikst 1]

Fixlog.txt

[Sandor 1 268]

Достаточно было один раз выполнить скрипт. Проблема решена?

[Temikst 1]

да, вроде еще вчера решилась, пк сразу же начал работать нормально, все страницы открывал нормально, в простое спокойно работает. 

Я так понимаю всё, можно удалять всё? ну как я понял есть инструкции как правильно удалить это

сколько пользовался пк, первый раз поймал троян, за 5 лет. Вообще антивирус не стоял, был только родной, вчера поставил Касперский интернет секьюрити 

[Sandor 1 268]

Этот майнер обычно попадает в систему при установке некоего репака или активатора, скачанного с торрента.

Конечно, установленный и действующий KIS такое попадание предотвратил бы.

 

Завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Temikst 1]

да, скачивал активатор, так и еще на ноут в этот же день, правда ноут у тестя, говорит работает нормально он, как доберусь буду смотреть

SecurityCheck.txt