Перейти к содержанию
Правила раздела
Пройди опрос про новый продукт, получи приз

Майнер блокирует доступ к avbr и connection_log

legobrick

Автор legobrick,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

legobrick

legobrick 0

Опубликовано
Опубликовано

Здравствуйте! У меня такая же проблема, поймал майнер. Получилось запустить проверку dr.web curelt, вылечил трояны, но после перезапуска симптомы остались: закрываются браузер, диспетчер задач, система грузится.
AVbr и kvrt не запускаются ни в нормальном ни в безопасном режимах, даже с переименованием. 

По совету из этой ветки скачал и запустил FRST (пришлось переименовать). Прикрепляю файлы по итогам сканирования.

Еще вопрос: является ли универсальным скрипт, отправленный выше? Или нужно его индивидуально как то создавать? Если да, то как?

Цитата

Скрипт выполняйте в безопасном режиме.


Надеюсь на вашу помощь!

 

Addition.txt FRST.txt Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 373

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [31419920 2023-04-05] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [14] KVRT.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-680987880-452118962-1575420047-1001\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe
Task: {00522D7F-3BD0-46B3-BF1E-3E8BA0DF1EF5} - System32\Tasks\MSI Task Host - DisplayID => C:\Program Files (x86)\MSI\One Dragon Center\MSI.NotifyServer.exe Detect_DisplayID (Нет файла)
Task: {13D562CE-118F-4603-884C-41372F3A6F57} - System32\Tasks\MSI Task Host - Detect_Monitor => C:\Program Files (x86)\MSI\One Dragon Center\MSI.NotifyServer.exe Detect_Monitor (Нет файла)
Task: {1C8A3680-6C88-4149-A40A-9EC8126C6739} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe [23627280 2023-04-05] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {4BCF682E-C8AE-4110-8B20-DED8231E3B5E} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
Task: {86426E56-628D-453F-ACFB-D72242348FD8} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [31419920 2023-04-05] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {A69DFC25-4839-4EFE-819A-1F05D4096C21} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe [31419920 2023-04-05] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ
Task: {AAA94FCB-0C28-49B6-8FCA-AADF16A5F80D} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe [23627280 2023-04-05] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ
Task: {AC0CAC60-7B73-4E69-BB80-92121440A3FC} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] <==== ВНИМАНИЕ
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пробуйте после перезагрузки запустить AVbr. Если все пройдет удачно, пришлите его лог работы.

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
legobrick

legobrick 0

Опубликовано
  • Автор
Опубликовано

Прогнал скрипт FRST, прикрепляю файл лога.

После перезагрузки прогнал AVbr и dr.web. Кажется полёт нормальный, проц перестал грузиться, симптомы пропали. 
Очень рад, огромное спасибо за помощь!

p.s. Настораживает только, что при повторном прогоне с AVbr утилита реагирует на файл hosts, пробовал несколько раз. 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
19 часов назад, legobrick сказал:

p.s. Настораживает только, что при повторном прогоне с AVbr утилита реагирует на файл hosts, пробовал несколько раз. 

вы бы хоть раз его лог показали, А то телепаты с майских праздников пока не вернулись.

Ну и на всякий случай hosts файл тоже прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Natalia00
      Майнер блокирует доступ к avbr и connection_log
      От Natalia00
      Здравствуйте. Помогите пожалуйста мне тоже. Даже этот сайт не открывается с компьютера (
      Addition.txt FRST.txt
    • snosov
      Проблема с Trojan.Win32.Miner.bcnmz/bcnnb + not-a-virus:RiskTool.Win32.BitCoinMiner.oomz + not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
      От snosov
      Приветствую,
      Обратил внимание, что у меня при заходе в Windows у меня мелькает окно cmd.exe, сразу попытался зайти на сайт антивирусного ПО и браузер "сам" закрылся.
      Скачал через телефон Kaspersky Virus Removal Tool и перебросил на ПК, но при попытке запустить файл окно проводника "само" закрывалось, переимоновал файл и он запустился, но в процессе "расстановки галочек" он так же "сам" закрылся.
      Скачал через телефон DrWeb CureIt!, он запустился без проблем и нашёл всякое, и полечил, но после перезагрузки всё вернулось.
      Скачал через телефон Kaspersky Rescue Disk, сформировал загрузочную USB. Было найдено то же самое, тоже было полечено, но так же не смогло помочь и после загрузки ситуация не поменялась.
      В приложении выгрузка AutoLogger-а и скрины KRD, но есть момент - AutoLogger пытался открыть Google Chrome, а я его удалил сразу как понял про заразу - там явки/пароли/карты.


      CollectionLog-2023.05.14-13.34.zip
    • sega1209
      Не ставится Endpoint ошибка 1303
      От sega1209
      Не устанавливается прошу помощи
    • rossi
      [РЕШЕНО] Tool.BtcMine 2711
      От rossi
      Здравствуйте!
      Cобрали целый арсенал разных вредоносов.
      Сканировал Dr.Web что не вылечил отправлено было в карантин и в карантине уже все удалил, так же для надежности Kaspersky Virus Removal Tool сканировал (тех что нашел Web уже не было) но нашел 1 вредоноса так же скрин прилагаю (его так же удалил)
      Прошу Вас помочь в просмотре логов и рекомендациям по устранению последствий этих вирусов.

      CollectionLog-2023.04.29-00.30.zip
    • Eskation
      Поймал майнер realtekhd taskhostw.exe
      От Eskation
      Здравствуйте! Аналогичная проблема - поймал майнер realtekhd taskhostw.exe
      kvrt несколько раз проверял, удалял, но гад постоянно возвращается
      AVbr запустить не даёт ни в обычном не в безопасном режимах - закрывает под предлогом необходимости обновления версии
      В безопасном режиме запустил FRST, прикрепляю результаты
      Заранее благодарен за любую помощь
      Addition.txtFRST.txt
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...