Перейти к содержанию
Правила раздела
Квест по поездкам на дни рождения клуба
Важная информация для участников клуба

[РЕШЕНО] Поймал майнер BTC mainer 2711

dendok1

Автор dendok1,
в Помощь в удалении вирусов

 Share Подписчики 0

Рекомендуемые сообщения

dendok1

dendok1 0

Опубликовано
Опубликовано

Вчера при включении пк, заметил серьезные фризы, проверил через cureit, он показал btc mainer 2711 в файле Microsoft Host, удалить его он не может, просматривал другие подобные темы, AVBR после проверки не создает файл логов, но я сохранил протокол, заранее спасибо

CollectionLog-2023.07.04-14.40.zip avz_log.txt

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

Здравствуйте, логи из безопасного режима не очень информативны. AVBR запускали переименованным и согласно инструкции

Ссылка на сообщение
Поделиться на другие сайты
dendok1

dendok1 0

Опубликовано
  • Автор
Опубликовано

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано
1 минуту назад, dendok1 сказал:

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

Запускайте AVBR в безопасном режиме с поддержкой сети согласно инструкции. 

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано (изменено)

Хорошо, теперь соберите стандартные логи с помощью Автологгера по правилам, но в обычном режиме.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже. 
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

Деинсталлируйте Driver Booster 10

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
        
    CreateRestorePoint:
CloseProcesses:
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
Startup: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk [2021-10-13]
ShortcutTarget: Twitch.lnk -> C:\Users\dendok1\AppData\Roaming\Twitch\Bin\Twitch.exe (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2023-07-04 15:21 - 2023-07-04 15:21 - 000005606 __RSH C:\ProgramData\ntuser.pol
2023-07-03 12:47 - 2023-07-03 12:47 - 000000000 __SHD C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [10]
AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD1 [33]
AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD2 [33]
AlternateDataStreams: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Calculator.lnk:17944DBEE1 [10]
FirewallRules: [TCP Query User{EBA2DBCC-5236-4696-98C3-FF6D06E00C59}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [UDP Query User{97CEBE7B-F677-4492-89B0-BE708FD948A0}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [{463B2FC8-3E34-44CD-8253-99745B414E8E}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
FirewallRules: [{AC0F6904-5368-40E2-918C-46833F218C0A}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
Exportkey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

Удаляйте следующие исключения для Windows Defender. 

  

"C:\ProgramData"="0"
"C:\Windows\SysWow64\unsecapp.exe"="0"
"C:\ProgramData\ReaItekHD\taskhost.exe"="0"
"C:\ProgramData\ReaItekHD\taskhostw.exe"="0"
"C:\ProgramData\WindowsTask\MicrosoftHost.exe"="0"
"C:\ProgramData\WindowsTask\audiodg.exe"="0"
"C:\ProgramData\WindowsTask\AppModule.exe"="0"
"C:\ProgramData\WindowsTask\AMD.exe"="0"
"C:\Program Files\RDP Wrapper"="0"
"C:\ProgramData\Windows Tasks Service\winserv.exe"="0"

 

Что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты
mike 1

mike 1 1 032

Опубликовано
Опубликовано

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 0
Перейти к списку тем

  • Похожий контент

    • BSss
      Проблема (?) вирус
      От BSss
      В простое видеокарта загружается до 100, включаются вентиляторы, запускаешь диспетчер задач  - успокаивается.. как бы от этого избавиться? 
    • largin
      Вирус Скайп?
      От largin
      https://www.youtube.com/watch?v=iPFnfoG30Nc?si=N9GOLz9qlVlSAef6 ( это что происходит) 
      Я не могу посмотреть расположение файла, что уже подозрительно, недавно открыл диспетчер задач и от этого скайпа был открыт файл dllhost.exe, который был расположен в SysWOW64 и когда я возвращался в диспетчер задач, то он пропадал, у меня скачан Kaspersky free, но он ничего в нём не находит, хотя комп стал работать медленнее( год назад я скачивал шейдеры на Майнкрафт, возможно там был Майнер, так как ФПС упал на 40%)

    • Павел_22R
      Словил майнер
      От Павел_22R
      Включаю компьютер, запускается виндоус. При попытки открыть какое либо приложение идет бесконечная загрузка. При попытке открыть виндоус в безопасном режиме ничего не происходит. Через настройки очистить диски начинается бесконечная подготовка к форматированию
    • advan
      Очень скрытный Майнер
      От advan
      Сначала закрывал страничку. Смена браузера не помогла, переходил на 8.8.8.8. Установил AVbr, все равно до конца не удалил. Он даже заражает телефоны. При подключении телефона к компу телефон заражает комп. Скорее всего ещё и роутер заражает. Помогите. Закрывает окно explorer с путём C:\Users\User\AppData\Local\Microsoft\Windows\History\Больше недели назад
    • temw
      [РЕШЕНО] майнер john
      От temw
      доброго вечера! 29 июня 2024 (в районе 17 вечера по московскому времени) была обнаружена странная активность – процессор грузился под 80% даже без нагрузки (просто при включении компьютера). после начал закрываться диспетчер задач (открывался буквально на несколько секунд). а поиск в браузере решений приводил к закрытию браузера (в то время как с телефона все сайты открывались нормально).
      мной была найдена информация о том, что это майнер john (который создает как раз пользователя john)
      ноутбук был почищен с помощью AVbr, но хочется иметь уверенность в том, что никаких хвостов не осталось, а также хочется принять во внимание рекомендации. прикладываю логи.
      upd: предложенные программы для проверки компа (Kaspersky Virus Removal Tool и Dr.Web CureIt!) ничего не выявили 
      AV_block_remove_2024.06.29-17.44.log CollectionLog-2024.07.01-00.34.zip
×
×
  • Создать...