Перейти к содержанию
Правила раздела

Поймал майнер, помогите

evill

Автор evill
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

evill

evill

Опубликовано
Опубликовано

Добрый день!

Поймал майнер который закрывает всё, в том числе и avbr с автологгером. Во вложении логи frst и hijackthis, которые получил из безопасного режима. Помогите, пожалуйста!

FR_ST.txt Add_ition.txt HiJackThis.log

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

38 минут назад, evill сказал:

закрывает всё, в том числе и avbr с автологгером

 

 Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Если выдаёт ошибку, запускайте из любой другой папки, кроме Рабочего стола или папки Загрузки.
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером уже из нормального режима по правилам раздела - Порядок оформления запроса о помощи

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Включите защиту от подделки по этой инструкции.

 

"Пофиксите" в HijackThis только следующее: 

O22 - Tasks: \Microsoft\Windows\MapInfoW\RecoveryHosts - C:\Programdata\Microsoft\dnyxh\script.bat (file missing)
O22 - Tasks: gSFGERgrRG547456 - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gSFGERgrRG547456 /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks_Migrated: gSFGERgrRG547456 - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gSFGERgrRG547456 /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks_Migrated: Maxthon5 Update - C:\Program Files (x86)\Maxthon5\Bin\Maxthon.exe -RunScheduledUpdate (file missing)

Перезагрузите компьютер.

 

Дополнительно удалите старые и соберите новые логи FRST.txt и Addition.txt

 

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2643412204-3539658165-3937346803-1001\...\Run: [gSFGERgrRG547456] => cmd.exe /c start www.dipladoks.org (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2643412204-3539658165-3937346803-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
2023-05-30 20:53 - 2023-05-30 20:53 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-05-30 20:53 - 2023-05-30 20:53 - 000000000 __SHD C:\Program Files\RogueKiller
2023-05-30 20:52 - 2023-05-30 20:52 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Kaspersky Total Security (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
AS: Kaspersky Total Security (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FW: Kaspersky Total Security (Enabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\gSFGERgrRG547456\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\gSFGERgrRG547456\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\AppData:CSM [482]
Toolbar: HKU\S-1-5-21-2643412204-3539658165-3937346803-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
FirewallRules: [{69133470-AA2C-44AF-BF05-8A7A371F95CE}] => (Allow) LPort=26789
FirewallRules: [{E7AEB5FB-124D-4049-8AE6-3285BC59AD21}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{F69172FC-CF26-4355-AD9B-7EFFFA56B1F9}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{D3ABB3F8-F860-4F4F-9D75-98780B9CBED7}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
FirewallRules: [{7446094C-2E24-4D76-9007-6E2F461F9024}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
evill

evill

Опубликовано
  • Автор
Опубликовано
04.06.2023 в 18:09, Sandor сказал:

Проблема решена?

Вроде как) Спасибо!!!

04.06.2023 в 18:09, Sandor сказал:

Проблема решена?

автозагрузка в диспетчере задач очистилась. Не знаете как вернуть?

Sandor

Sandor

Опубликовано
Опубликовано

Нажмите сочетание win+R и введите

Цитата

shell:startup

 

Добавьте в эту папку ярлыки тех программ, которые вам нужны.

  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • userHeLmW
      Майнер грузит видеокарту
      Автор userHeLmW
      Решил установить и активировать MS Office и после этого (спустя несколько дней) видеокарта стала грузиться на 100%
      CollectionLog-2026.03.10-16.24.zip
    • LevaAttacker
      [РЕШЕНО] Вирусы
      Автор LevaAttacker
      Здравствуйте! Недавно ставил чистую винду с форматированием дисков, и каким-то образом появились майнеры, и удалить их никак не могу, Также, когда пытаюсь открыть regedit, он сразу же закрывается.

    • enigmaticblade
      [РЕШЕНО] WinServiceNetworking загружает gpu на 100%
      Автор enigmaticblade
      Просканироал KVR, нашел WinServiceNetworking, произвел лечение с удалением, папка наместе. Загрузка гпу так же высокая судя по MSIAfterburner. Отчет логов собирал после работы KVRT


      CollectionLog-2026.03.09-12.15.zip Reports.zip
    • n1ke374
      После удаления майнера осталась служба с названием BITS_bkp.
      Автор n1ke374
      Здраствуйте, аналагичная ситуация произашла, как мне востоновить службы обновления Windows 
      SecurityCheck.txt
       
      Сообщение от модератора thyrex Перенесено из темы
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...