Перейти к содержанию

[РЕШЕНО] Поймал майнер BTC mainer 2711


Рекомендуемые сообщения

Вчера при включении пк, заметил серьезные фризы, проверил через cureit, он показал btc mainer 2711 в файле Microsoft Host, удалить его он не может, просматривал другие подобные темы, AVBR после проверки не создает файл логов, но я сохранил протокол, заранее спасибо

CollectionLog-2023.07.04-14.40.zip avz_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, логи из безопасного режима не очень информативны. AVBR запускали переименованным и согласно инструкции

Ссылка на сообщение
Поделиться на другие сайты

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, dendok1 сказал:

Да, он не запускается в обычном режиме, переименованным тоже, из другой папки тоже, он либо вообще не включается, либо включается и сразу закрывается

Запускайте AVBR в безопасном режиме с поддержкой сети согласно инструкции. 

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, теперь соберите стандартные логи с помощью Автологгера по правилам, но в обычном режиме.

Изменено пользователем mike 1
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены, как на картинке ниже. 
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте Driver Booster 10

 

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
       
    CreateRestorePoint:
    CloseProcesses:
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ВНИМАНИЕ
    HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ВНИМАНИЕ
    Startup: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Twitch.lnk [2021-10-13]
    ShortcutTarget: Twitch.lnk -> C:\Users\dendok1\AppData\Roaming\Twitch\Bin\Twitch.exe (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    2023-07-04 15:21 - 2023-07-04 15:21 - 000005606 __RSH C:\ProgramData\ntuser.pol
    2023-07-03 12:47 - 2023-07-03 12:47 - 000000000 __SHD C:\ProgramData\princeton-produce
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [10]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [10]
    AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD1 [33]
    AlternateDataStreams: C:\Users\dendok1\AppData\Local\Microsoft:ISBD2 [33]
    AlternateDataStreams: C:\Users\dendok1\AppData\Roaming\Microsoft\Windows\Start Menu\Calculator.lnk:17944DBEE1 [10]
    FirewallRules: [TCP Query User{EBA2DBCC-5236-4696-98C3-FF6D06E00C59}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
    FirewallRules: [UDP Query User{97CEBE7B-F677-4492-89B0-BE708FD948A0}C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe] => (Allow) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
    FirewallRules: [{463B2FC8-3E34-44CD-8253-99745B414E8E}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
    FirewallRules: [{AC0F6904-5368-40E2-918C-46833F218C0A}] => (Block) C:\users\dendok1\appdata\roaming\exjava\jvm\bin\java.exe
    Exportkey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions


  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

  4. Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Удаляйте следующие исключения для Windows Defender. 

 

"C:\ProgramData"="0"
"C:\Windows\SysWow64\unsecapp.exe"="0"
"C:\ProgramData\ReaItekHD\taskhost.exe"="0"
"C:\ProgramData\ReaItekHD\taskhostw.exe"="0"
"C:\ProgramData\WindowsTask\MicrosoftHost.exe"="0"
"C:\ProgramData\WindowsTask\audiodg.exe"="0"
"C:\ProgramData\WindowsTask\AppModule.exe"="0"
"C:\ProgramData\WindowsTask\AMD.exe"="0"
"C:\Program Files\RDP Wrapper"="0"
"C:\ProgramData\Windows Tasks Service\winserv.exe"="0"

 

Что с проблемой?

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
    • CzarOfScripts
      От CzarOfScripts
      Уже давно сталкивался с этим майнером, но так и не решил данную проблему до конца и просто переустановил виндовс в будущем. Как можно от него избавиться, есть ли какой-то универсальный софт?  Farbar Recovery Scan Tool сразу же закрывается после запуска, переименовывать пробовал.
    • distress
      От distress
      Добрый день, получилось так что словил серьезный майнер с автозапуском порно-сайта через редирект.
      Все что похожее есть по другим темам прочитал, понял что все очень индивидуально, у каждого свои логи и вариант решения. Переустановить систему нет возможности, стоят важные программы, файлы.
      Скачал AV block remover и сделал collectionlog, файлы прикрепляю.
      Помогите пожалуйста.CollectionLog-2024.05.15-22.04.zipAV_block_remove_2024.05.15-18.34.log
    • stnslv0
    • Президент
      От Президент
      На рабочем столе услышал что все вентиляторы усердно работают, повышают шум вентиляторов волнами, в простое системы. Дошло аж до теплого воздуха от радиатора. Проц до 70 градусов и видяха до 60. Открываю диспетчер задачь, успеваю засечь нагрузку ЦП в 80% и резко падает до 2%, все скрытое отключается. И так пока диспетчер задач сам не закрывается на Вин 10, все тихо и спокойно, низкие температуры, нагрузка ЦП макс до 4% при малом действии. Затем через время, диспетчер задач перестает открываться дольше чем на долю секунды. Пока не перезагрузишь.
      К сожалению давно не работал с ПК, не понимаю уже, какой антивирус искать, поможет ли антивирус в таком случае. Так что помогите более подробно, какие программы скачать, какую вам информацию предоставить.
      Подозрение пока что есть только на торрент игры айдж вондерс 4, плюс регистрация с меню, мол для сейва аккаунта. Только во время этой игры обратил внимание, что система стала сильно шумно работать. Остальную историю могу отдельно после лечения перебрать, поискать подозрения.
×
×
  • Создать...