[РЕШЕНО] Поймал интересный майнер

[communistt]

Здравствуйте поймал интересный майнер😃 Как по мне показалось что это появилось после установки WarThunder с их лаунчера, возможно ошибаюсь) Так вот заметил что цп греется, сразу же полез скачать drweb ну стандартная история не дает скачать, вообщем кое как на кривой ноге скачал его отсканировал компьютер, и он находит только одну проблему в hots.txt, ну думаю ну наверное все, но нет продолжает цп греется, думаю поставлю nod32, система не дает, полез в реестр смотрю куча блокировок на установку всех антивирусных систем, ну вообщем удалил их, пытаюсь установить увы не как , вообщем почитал форумы установил себе HitmanPro_x64, он просканировал удалил что-то в том числе трояны, но увы вакханалия продолжалась, и процессор грелся, начал пробывать устанавливать Malwarebytes не дает возможность, устанавливаю Free Virus Removal Tool , слава богу устанавливается, происходит проверка находит так же куча вирусов, вроде бы начинает перезагружаться и тут затупил, вообщем выключил комп перезапустил, опять он включился Free Virus Removal Tool и начал сканировать сканировал где-то минут 50, после чего опять что то удалил, и вроде бы все хорошо, после чего почитал ваш форум farbar-recovery-scan-tool использовал исправления какие то, и наконец то стала возможность установить Malwarebytes, так же установил проверил он тоже что то нашел, вроде как удалил все, ну я его удалил дай думаю поставлю Nod32 увы все так же не получается, вопрос можете ли вы с этим помочь?😄 Я лично с таким серьезным вирусом впервые сталкиваюсь🙂

[mike 1]

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[communistt]

Вот держите🙂

CollectionLog-2023.06.28-16.16.zip

[mike 1]

Это C:\Program Files (x86)\Xvid\CheckUpdate.ps1 знакомо?

 

Скачайте AVBR, запустите, следуйте инструкциям утилиты, прикрепите лог. 

 

Далее скачайте Farbar Recovery Scan Tool   и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[communistt]

Это C:\Program Files (x86)\Xvid\CheckUpdate.ps1 знакомо? - нет не знакомоAddition.txtFRST.txtShortcut.txt

[mike 1]

Не прислали лог AVBR. Вы параллельно еще где-то лечитесь? Пришлите лог C:\Users\Anastasia\Downloads\Fixlog.txt 

[communistt]

Нет нигде не лечусь параллельно 

Fixlog.txt

[mike 1]

Результаты исправления Farbar Recovery Scan Tool (x64) Версия: 19-06-2023
Запущено с помощью Anastasia (28-06-2023 15:08:31) Run:3
Запущено из C:\Users\Anastasia\Downloads
Загруженные профили: Anastasia
Режим загрузки: Normal
==============================================

fixlist содержимое:
*****************
Start::
CreateRestorePoint:


Файлы для перемещения (Режим Загрузки:Normal) (Дата и Время: 28-06-2023 15:10:01)

C:\Program Files\Malwarebytes => Успешно перемещены
C:\ProgramData\Malwarebytes => Успешно перемещены
==== Конец  Fixlog 15:10:01 ====

 

Жду второй лог. Почему на этой машине выполняются скрипты FRST чужие от имени пользователя Anastasia? 

[communistt]

Увы не знаю, вы имеете ввиду почему компьютер подписан Anastasia 😄, мне на данный момент что нужно сделать?

Изменено 28 июня, 2023 пользователем communistt

[mike 1]

Для начала хотелось бы понять, кто выдал вам этот скрипт и как так получилось что его выполнили на этом компьютере?  

[communistt]

  А ну я нашел ваш форум, до того как решил написать вам, там какае то старая тема была, соответственно скачал, сделал анализ и использовал какие то исправления в реестре😄 Воот а потом уже решил написать вам 😅 Это потом я понял что их лучше не использовать 😔

[mike 1]

Тогда вам для информации: если пользователь начинает заниматься самолечением в момент лечения на форуме, то мы можем отказать в помощи, т.к. нести ответственность за чужие действия я не собираюсь. Поэтому давайте так, либо я пытаюсь вам помочь без вашего самолечения, либо вы самостоятельно решаете свою проблему. Лог AVBR вы мне так и не прислали, пришлете его?

[communistt]

Я больше не будAV_block_remove_2023.06.28-19.29.logAV_block_remove_2023.06.28-19.25.logу заниматься самолечением 🙂 Я занялся до написания на форуме ) Случайно сделал 2 раза

[mike 1]

После очистки AVBR сделайте свежие логи frst.txt, addition.txt

[communistt]

2 минуты назад, mike 1 сказал:

После очистки AVBR сделайте свежие логи frst.txt, addition.txt

Shortcut.txtAddition.txtFRST.txt