Поймал майнер, помогите

[evill]

Добрый день!

Поймал майнер который закрывает всё, в том числе и avbr с автологгером. Во вложении логи frst и hijackthis, которые получил из безопасного режима. Помогите, пожалуйста!

FR_ST.txt Add_ition.txt HiJackThis.log

[Sandor]

Здравствуйте!

 

38 минут назад, evill сказал:

закрывает всё, в том числе и avbr с автологгером

 

 Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Если выдаёт ошибку, запускайте из любой другой папки, кроме Рабочего стола или папки Загрузки.
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером уже из нормального режима по правилам раздела - Порядок оформления запроса о помощи

[evill]

AV_block_remove_2023.05.31-19.38.log AV_block_remove_2023.05.31-19.46.log CollectionLog-2023.05.31-20.10.zip

[Sandor]

Включите защиту от подделки по этой инструкции.

 

"Пофиксите" в HijackThis только следующее:

O22 - Tasks: \Microsoft\Windows\MapInfoW\RecoveryHosts - C:\Programdata\Microsoft\dnyxh\script.bat (file missing)
O22 - Tasks: gSFGERgrRG547456 - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gSFGERgrRG547456 /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks_Migrated: gSFGERgrRG547456 - C:\WINDOWS\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gSFGERgrRG547456 /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
O22 - Tasks_Migrated: Maxthon5 Update - C:\Program Files (x86)\Maxthon5\Bin\Maxthon.exe -RunScheduledUpdate (file missing)

Перезагрузите компьютер.

 

Дополнительно удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[evill]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2643412204-3539658165-3937346803-1001\...\Run: [gSFGERgrRG547456] => cmd.exe /c start www.dipladoks.org (Нет файла)
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-2643412204-3539658165-3937346803-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  2023-05-30 20:53 - 2023-05-30 20:53 - 000000000 __SHD C:\ProgramData\princeton-produce
  2023-05-30 20:53 - 2023-05-30 20:53 - 000000000 __SHD C:\Program Files\RogueKiller
  2023-05-30 20:52 - 2023-05-30 20:52 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  AV: Kaspersky Total Security (Enabled - Up to date) {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}
  AS: Kaspersky Total Security (Enabled - Up to date) {B1D2E896-6D96-7460-F17A-838B9D00DD65}
  FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  FW: Kaspersky Total Security (Enabled) {32888857-01C3-7AB6-E095-11CC1854D0A3}
  AlternateDataStreams: C:\WINDOWS\tracing:? [16]
  AlternateDataStreams: C:\Users\gSFGERgrRG547456\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\gSFGERgrRG547456\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\AppData:CSM [482]
  Toolbar: HKU\S-1-5-21-2643412204-3539658165-3937346803-1001 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  FirewallRules: [{69133470-AA2C-44AF-BF05-8A7A371F95CE}] => (Allow) LPort=26789
  FirewallRules: [{E7AEB5FB-124D-4049-8AE6-3285BC59AD21}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{F69172FC-CF26-4355-AD9B-7EFFFA56B1F9}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{D3ABB3F8-F860-4F4F-9D75-98780B9CBED7}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  FirewallRules: [{7446094C-2E24-4D76-9007-6E2F461F9024}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[evill]

Fixlog.txt

[Sandor]

Проблема решена?

[evill]

04.06.2023 в 18:09, Sandor сказал:

Проблема решена?

Вроде как) Спасибо!!!

04.06.2023 в 18:09, Sandor сказал:

Проблема решена?

автозагрузка в диспетчере задач очистилась. Не знаете как вернуть?

[Sandor]

Нажмите сочетание win+R и введите

Цитата

shell:startup

 

Добавьте в эту папку ярлыки тех программ, которые вам нужны.

[Sandor]

В завершение, пожалуйста:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.