Перейти к содержанию
Правила раздела

Не удаляется майнер John

Kikita

Автор Kikita
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Kikita

Kikita

Опубликовано
Опубликовано

Здравствуйте, заметил что начались сильные фризы в играх, начал проверять в диспетчере задач что может нагружать систему, при запуске диспетчера, ничего нет, но заметил если смотреть через прогу АМД где показывается загрузка ЦП, при выключенном диспетчере загрузка цп 66-77%, с включенным 6-10%.
Проверил на доктор веб, он ничего не нашел.
Затем скачал AVBR, но майнер не давал его запустить, перевел систему в безопасный режим с поддержкой сетевых драйверов и скачал AVBR на флешку, переименовал в "memmm" и от туда запустил от имени администратора.
Он нашел скрытого пользователя джон, удалил. 
Затем он исправил Хост и перезагрузил комп.
Но система все так же нагружается, несколько раз запускал AVBR и каждый раз удаляет хост, но ничего не помогает.
Даже делал полное сканирование этой программой которое заняло 3 часа, но написало что не обнаружено вредоносных программ, майнер все так же нагружает ЦП.
Логи прикрепляю.

CollectionLog-2023.08.04-08.23.zip

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\SysFilesF\RecoveryHosts - C:\Programdata\Microsoft\dpakp\script.bat (file missing)
O22 - Tasks: \Microsoft\Windows\Wininet\1Hor - C:\Programdata\Microsoft\dpakp\Game.exe -ppidar (file missing)

Перезагрузите компьютер.

 

Включите защиту от подделки (была отключена майнером)

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
Kikita

Kikita

Опубликовано
  • Автор
Опубликовано

Пофиксил в хайджеке все что было сказано ( решились с ошибкой и кнопкой "ок")
Перезагрузил, попробовал еще раз посмотреть, больше этих пунктов не было, видимо пофиксились.
Защита от подделки не дает себя переключить
image.thumb.png.e9ae2892cd387549d36b46610ac902af.png

Отчеты от Фарбара прикрепил

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус, но не отключайте сеть.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKU\S-1-5-21-3891693737-3059105726-96016339-1001\...\Run: [MicrosoftEdgeAutoLaunch_BC736C650C0CAFFFBF77AA5340197734] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3891693737-3059105726-96016339-1006\...\Run: [MicrosoftEdgeAutoLaunch_F11E01D664179919A38AF7D0333D7D49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4088256 2023-07-27] (Microsoft Corporation -> Microsoft Corporation)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HKU\S-1-5-21-3891693737-3059105726-96016339-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
Virustotal: C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe
U4 SAVService; отсутствует ImagePath
U4 Sophos MCS Agent; отсутствует ImagePath
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec.cloud
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\HitmanPro.Alert
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\ProgramData\Bitdefender Agent
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Webroot
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Trend Micro
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Telmex
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Symantec
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Sophos
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Seqrite
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\SentinelOne
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Quick Heal
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\NANO Antivirus
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee Security Scan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\McAfee
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\K7 Computing
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Immunet
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\F-Secure
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\eScan
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\CheckPoint
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\BitDefender
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\Program Files (x86)\Avira
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2023_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2022_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 __SHD C:\KVRT2021_Data
2023-07-27 20:16 - 2023-07-27 20:16 - 000000000 ____D C:\Program Files\Fortinet
2023-07-27 20:12 - 2023-07-27 20:13 - 000000000 ___HD C:\Users\John
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [287]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [287]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [287]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [287]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT [40]
AlternateDataStreams: C:\Users\Кекита\Application Data:NT2 [287]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\Кекита\AppData\Roaming:NT2 [287]
FirewallRules: [{1A8F7F9C-E341-442E-B9E1-CC5CEDBB7E70}] => (Block) LPort=135
FirewallRules: [{80286B08-0388-468F-B07C-78CF291C1116}] => (Block) LPort=445
FirewallRules: [{33499805-D2E4-4822-9194-0685F96038C4}] => (Block) LPort=5655
FirewallRules: [{74906538-E23A-4448-91FB-5EBDD3BA6521}] => (Block) LPort=135
FirewallRules: [{BE4F9698-A4C4-4555-BD73-18A0F4D2918D}] => (Block) LPort=445
FirewallRules: [{2A67A16A-E9E5-4A6C-BD27-F13FCEE7EB13}] => (Block) LPort=135
FirewallRules: [{132DBFE7-D8AB-4C21-A000-CA33D47EABD1}] => (Block) LPort=137
FirewallRules: [{F53C62CA-CC5A-4244-B973-D27B9CDEA3DC}] => (Block) LPort=138
FirewallRules: [{5716ED32-992D-4F02-805B-A9151083EC3D}] => (Block) LPort=139
FirewallRules: [{F3F038DF-F1C8-42F6-99DE-4F183518FF78}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{B6CBB6CE-F213-4849-9F16-CDA2B85C769E}] => (Allow) C:\Windows\Inf\Netframeworksqldataservice\Framework4\sqldata.exe => Нет файла
FirewallRules: [{E071CD78-34AD-475E-9C5F-540E7A11C4E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{D4B6E0F4-D65A-4A4A-8570-69341E76FA0A}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{0E399745-5842-49D3-9AB9-E4F61DB6F50B}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{0A9DB314-C18A-4A51-9A31-57841DAEAB79}] => (Allow) C:\Windows\Inf\NetframeworkServicesdrv\Famework\sqlserv.exe => Нет файла
FirewallRules: [{2BC88B84-1F21-4EDC-BCFF-196A1036D0E5}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
FirewallRules: [{12825A28-D282-4E71-B4CB-FFE13C741B19}] => (Allow) C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\netsqlserver.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В диспетчере устройств много не установленных драйвером. Скачайте и доустановите.

Sandor

Sandor

Опубликовано
Опубликовано
50 минут назад, Kikita сказал:

Защита от подделки не дает себя переключить

Пробуйте сейчас.

 

Пожалуйста, удалите старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
S2 NETDataSqlServer; C:\Windows\Inf\NETDataProviderSqlServer\001D\0419\0409\0409\sqldb.exe [X]
S2 rwscyustv; C:\Windows\Inf\storagevservicedbsmd\000D\1049\5.0\SQL\lsm.exe [X]
S2 sqldatabaseserv; C:\Windows\Inf\Netframeworksqldataservice\Framework4\vps.exe [X]
S2 SQLServiceFWSM; C:\Windows\Inf\NetframeworkServicesdrv\Famework\vds.exe [X]
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Sandor

Sandor

Опубликовано
Опубликовано

FSS запускали в безопасном режиме? Переделайте в нормальном, пожалуйста.

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте этот архив.

Распакуйте. Запустите один reg файл, согласитесь с внесением изменений в реестр и перезагрузите систему.

Повторите то же со вторым reg файлом.

После второй перезагрузки соберите очередной лог FSS.txt

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Филимон
      Есть подозрение на майнер. Касперский ничего не находит.
      Автор Филимон
      Есть подозрение на майнер. Ноут достаточно теплый, шумит вентиляторами, быстро разряжает батарею. При открытии диспетчера задач вот такая картина, нагрузка с гпу резко падает, вентиляторы затихают. Стоит касперский плюс, ничего при проверках не находит. Сканирование при загрузки с флешки при помощи ремовал_тулз тоже ничего не показало.
       
       
       

    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

    • AscRK
      Удаление самовосстанавливающегося майнера
      Автор AscRK
      Dr. Web CureIt определил ряд троянов и майнеров, очистить которые до конца не получается - после перезагрузки все вредоносные программы возвращаCollectionLog-2025.11.24-15.43.zipются на места.
×
×
  • Создать...