Перейти к содержанию

[РЕШЕНО] поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется


Рекомендуемые сообщения

поймал майнер btcmine 2711, пытался лечить cure it, после перезагрузки он опять появляется при проверке. В безопасном режиме запустил утилиту AV block remover, она нашла пользователя John и удалила. Что нужно сделать еще ?

AV_block_remove_2023.04.20-23.20.log

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

В целом AVbr справился хорошо, остались только некоторые хвосты.

 

Программы от IObit относятся к нежелательному ПО, поэтому деинсталлируйте IObit Uninstaller 12.

 

"Пофиксите" в HijackThis (только следующие строки):

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)

 

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Удалите принудительно через Geek Uninstaller

 

 

Затем:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CHR Notifications: Default -> hxxps://1.biqund.com; hxxps://10.biqund.com; hxxps://100.biqund.com; hxxps://100.cepoqez.com; hxxps://11.biqund.com; hxxps://12.biqund.com; hxxps://13.biqund.com; hxxps://14.biqund.com; hxxps://15.biqund.com; hxxps://16.biqund.com; hxxps://17.biqund.com; hxxps://18.biqund.com; hxxps://19.biqund.com; hxxps://2.biqund.com; hxxps://20.biqund.com; hxxps://21.biqund.com; hxxps://22.biqund.com; hxxps://23.biqund.com; hxxps://24.biqund.com; hxxps://25.biqund.com; hxxps://26.biqund.com; hxxps://27.biqund.com; hxxps://28.biqund.com; hxxps://29.biqund.com; hxxps://3.biqund.com; hxxps://30.biqund.com; hxxps://31.biqund.com; hxxps://32.biqund.com; hxxps://34.biqund.com; hxxps://35.biqund.com; hxxps://36.biqund.com; hxxps://37.biqund.com; hxxps://38.biqund.com; hxxps://39.biqund.com; hxxps://4.biqund.com; hxxps://40.biqund.com; hxxps://41.biqund.com; hxxps://42.biqund.com; hxxps://43.biqund.com; hxxps://44.biqund.com; hxxps://45.biqund.com; hxxps://46.biqund.com; hxxps://47.biqund.com; hxxps://48.biqund.com; hxxps://49.biqund.com; hxxps://5.biqund.com; hxxps://5.cepoqez.com; hxxps://50.biqund.com; hxxps://51.biqund.com; hxxps://52.biqund.com; hxxps://53.biqund.com; hxxps://54.biqund.com; hxxps://55.biqund.com; hxxps://56.biqund.com; hxxps://57.biqund.com; hxxps://58.biqund.com; hxxps://58.cepoqez.com; hxxps://59.biqund.com; hxxps://6.biqund.com; hxxps://60.biqund.com; hxxps://61.biqund.com; hxxps://62.biqund.com; hxxps://63.biqund.com; hxxps://64.biqund.com; hxxps://65.biqund.com; hxxps://66.biqund.com; hxxps://67.biqund.com; hxxps://68.biqund.com; hxxps://69.biqund.com; hxxps://7.biqund.com; hxxps://7.cepoqez.com; hxxps://70.biqund.com; hxxps://71.biqund.com; hxxps://72.biqund.com; hxxps://73.biqund.com; hxxps://73.cepoqez.com; hxxps://74.biqund.com; hxxps://75.biqund.com; hxxps://76.biqund.com; hxxps://77.biqund.com; hxxps://78.biqund.com; hxxps://78.cepoqez.com; hxxps://79.biqund.com; hxxps://8.biqund.com; hxxps://80.biqund.com; hxxps://81.biqund.com; hxxps://82.biqund.com; hxxps://83.biqund.com; hxxps://84.biqund.com; hxxps://85.biqund.com; hxxps://86.biqund.com; hxxps://87.biqund.com; hxxps://88.biqund.com; hxxps://9.biqund.com; hxxps://90.biqund.com; hxxps://91.biqund.com; hxxps://92.biqund.com; hxxps://93.biqund.com; hxxps://94.biqund.com; hxxps://95.biqund.com; hxxps://96.biqund.com; hxxps://97.biqund.com; hxxps://98.biqund.com; hxxps://99.biqund.com; hxxps://bvideo.pro; hxxps://music.yandex.ru
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отлично!

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Ezikeil
      От Ezikeil
      В начале мая поймал майнер "John", блокировал доступ к AMD Software и нагружал видеокарту, почистил пк через: Dr.Web CurеIt!, kaspersky removal tool, Avz, AV block remover (AVbr) почистил вручную localhost, вручную удалял папки который майнер насоздавал в Program data и вроде как удалил майнер. Смущает что Avz ругается на перехватку каких то методов. 
      CollectionLog-2024.06.16-00.16.zip HiJackThis.log avz_log.txt Addition.txt FRST.txt
    • zeuslody
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
×
×
  • Создать...