Перейти к содержанию

[РЕШЕНО] Возможно последствия от майнера


Рекомендуемые сообщения

Вот такая ошибка, всё перепробовал, случилось после того как словил майнер, я его удалил, но у меня теперь есть подозрения на то что виндовс не может достучаться до некоторых файлов
Команды такого типа: DISM.exe /Online /Cleanup-image /Restorehealth Я уже пробовал, оно восстанавливает но sfc выдаёт всё ту же ошибку.
Так же частично работает центр обновления виндовс, тоесть скачивает обновления перезапускаю комп, идёт установка и на 50%+- пишет в статус очистка, после этого захожу в центр обновления и обновления качает заново.
image.png.6bf5f7a655d4a5f69d945dd1f362722f.png

image.thumb.png.576c0570e1fd65315dd285127ae7983c.png
Ещё появилась надпись что управляет организация, но на компе только один пользователь.

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Mark D. Pearlstone сказал:

CollectionLog-2023.05.03-20.41.zip впринципе я всё описал до этого, вот лог с той програмки

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Следы майнера всё ещё видны. Будем чистить.

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Ссылка на комментарий
Поделиться на другие сайты

29 минут назад, Sandor сказал:

Здравствуйте!

 

Следы майнера всё ещё видны. Будем чистить.

 

Скачайте AV block remover (или отсюда).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Я из Укр, поэтому некоторые сайты в логе недоступны

AV_block_remove_2023.05.04-11.15.log CollectionLog-2023.05.04-11.22.zip

Ссылка на комментарий
Поделиться на другие сайты

Для ответа используйте, пожалуйста, нижнее поле, вместо полного цитирования предыдущего сообщения. Это затрудняет чтение темы.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    FCheck: C:\Windows\SysWOW64\version_IObitDel.dll [2023-03-31] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [209]
    AlternateDataStreams: C:\Windows\system32\.crusader:A00C7B7425 [3442]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [209]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [209]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [209]
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [3442]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [209]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4ebur.net.lnk:575FF28B9B [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2022.lnk:C56174E6CE [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6 Russian.lnk:E277E4233F [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Registry Repair.lnk:ECE9A2C688 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\spacedesk DRIVER Console.lnk:59312B2D30 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio 2016.lnk:EB926A4294 [3442]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\wallpaper64.lnk:D7E9C2C1FA [3442]
    AlternateDataStreams: C:\Users\Maximys\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Maximys\AppData\Roaming:NT2 [209]
    AlternateDataStreams: C:\Users\Maximys\AppData\Local\Temp:$DATA [16]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2794]
    StartBatch:
      del /s /q C:\Windows\SoftwareDistribution\download\*.*
      del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
      del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    EndBatch:
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Выполнение скрипта может занять длительное время (до получаса), дождитесь завершения.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Да, убралась надпись что управляет организация. И вроде как центр обновления виндовс теперь работает нормально

Ссылка на комментарий
Поделиться на другие сайты

Хорошо, тогда в завершение и на будущее:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ivanbigua
      От ivanbigua
      Здравствуйте! После проверки остались не выправленные ошибки. Помогите пожалуйста.
      SFCFix.txt CBS.log
    • WEBHEAD
      От WEBHEAD
      После сканирования системы получил сообщение, что кое какие файлы повреждены и не подлежат восстановлению?
      Что мне делать?
    • Sapfira
      От Sapfira
      Появилась идея создать батник с командой sfc /scannow и отправить его в планировщик заданий, чтобы проверка целостности проводилась в автоматическом режиме, через определённый промежуток времени (например, раз в неделю).
      Всё вышесказанное сделать не проблема, но есть один более сложный момент. Нужно, чтобы дальнейшее действие зависело от результатов проверки, то есть, если проверка найдёт повреждённые файлы и исправит их, то должна произойти автоматическая перезагрузка системы, а если не обнаружит никаких повреждений, тогда никакой перезагрузки не должно быть.
      Возможно ли такое реализовать?
    • Caxap
      От Caxap
      Что не так?
      Лог sfc прилагаю
       
      cbs.txt
×
×
  • Создать...