Майнер Realtek

[Виктор Аверьянов]

Подцепил вирус майнер. Никаких программ не скачивал и не устанавливал. Связываю с неким событием. Была дискуссия. Вылезает какая-то Realtek, и задает вопрос: это ваша фотография? Я ответил, что нет. Антивирус никак не отреагировал. Прошли сутки, и тут антивирус заявил, что у меня этим Realtek заражено все что можно. Предложил чистку, я согласился. Чистка сопровождалась несколькими перезагрузками. KVRT после этого ничего подозрительного не показал.

Через несколько дней значок антивируса становится красным, значит сам есть, а защиты нет.

Через какое-то время значок снова стал зеленым сам по себе, я активных действий не делал. Запустил KVRT, обнаружил три вредоносных. Согласился на лечение с перезагрузкой. После завершения KVRT ничего не обнаружил.

Но странность осталась. Пытаюсь сделать обновление, получаю диагностику:

"Сервер вернул некорректные данные."

Почитал тему "Помощь в удалении вирусов". Скачал AV_block_remover, запустил, была перезагрузка, есть лог, но ничего не изменилось.

Скачал AutoLogger, но пока не запускал.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Виктор Аверьянов]

Я что-то не так оформил?

[Mark D. Pearlstone]

По ссылке всё написано.

[kmscom]

  

18.07.2014 в 03:09, Roman_Five сказал:

вложите в сообщение файл протоколов (логов) - CollectionLog-yyyy.mm.dd-hh.mm.zip

 

[Sandor]

21 час назад, Виктор Аверьянов сказал:

Скачал AV_block_remover, запустил, была перезагрузка, есть лог

И этот лог тоже прикрепите, пожалуйста.

[Виктор Аверьянов]

Запустил AutoLogger.exe, предварительно отключив антивирус и сеть. Оказалось, сеть не надо было отключать, включил во время работы. Лог AV_block_remover  делал несколько дней назад.

AV_block_remove_2023.08.11-12.10.log CollectionLog-2023.08.14-08.33.zip

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Adobe Flash Player 28 ActiveX

Adobe Flash Player 28 NPAPI

Adobe Flash Player 28 PPAPI

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Виктор Аверьянов]

Спасибо. К сожалению не могу много времени выделять компьютеру. Постараюсь выполнить ваши рекомендации в день - два, и отчитаюсь.

[Виктор Аверьянов]

Три программы были, удалил. Странно, но они шли под логотипом Adobe. Подмена?

После перезагрузки обновление вроде как бы и прошло.

Запустил FRST64.exe

Опять отключил антивирус и сеть. Опять зря отключил сеть.

Два полученных файла прилагаю.

 

Еще одно подозрение. Периодически возникала загрузка процессора. Ощущал это по работе вентилятора. Когда запускал диспетчер задач, загрузка иногда скакала почти до 100%

Addition.txt FRST.txt

[thyrex]

4 минуты назад, Виктор Аверьянов сказал:

Три программы были, удалил. Странно, но они шли под логотипом Adobe. Подмена?

Безнадежно устарело и не более.

 

По поводу логов ответит коллега завтра.

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {045076F2-D746-4322-A134-7D7966C5F818} - \AAct -> Нет файла <==== ВНИМАНИЕ
  Task: {0FCF0478-2AE1-46C4-8B1D-C95AA10DEF09} - \Microsoft\Windows\FilesystemS\RecoveryTask -> Нет файла <==== ВНИМАНИЕ
  Task: {237716CE-53C0-47C6-AFDE-4F2A7EEE9AEC} - \Microsoft\Windows\FilesystemS\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
  Task: {264CC557-689A-44CB-9419-7CCD87489C8A} - \Microsoft\Windows\CreedMobeR\RecoveryTask -> Нет файла <==== ВНИМАНИЕ
  Task: {3D6602EC-E9CA-4F5E-8EFA-ADEDFC282CA2} - \Microsoft\Windows\FilesystemD\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
  Task: {3D691603-F2A5-4D3F-BECD-3CCE04FB91DB} - \Microsoft\Windows\CreedMobeR\RecoveryHosts -> Нет файла <==== ВНИМАНИЕ
  Task: {4906BEC6-A985-4C1B-90BB-EFB3C8F8DBAD} - \Microsoft\Windows\WindowsBackup\ControlService -> Нет файла <==== ВНИМАНИЕ
  Task: {6B1AD797-020D-4A6D-BD51-89D5F27ED62D} - \Microsoft\Windows\WindowsBackup\ExpressCheckUP -> Нет файла <==== ВНИМАНИЕ
  Task: {9EC3BF0E-958E-47ED-9FCC-DC871AC56EAA} - \Microsoft\Windows\WindowsBackup\CashClean -> Нет файла <==== ВНИМАНИЕ
  Task: {B1AE5E1E-D115-464A-9BCB-451D1B7035F2} - \Microsoft\Windows\CreedMobeR\wmdjv -> Нет файла <==== ВНИМАНИЕ
  Task: {FF43CD2C-6EA9-49F6-B620-6100EF0E6894} - \Microsoft\Windows\FilesystemS\yxkig -> Нет файла <==== ВНИМАНИЕ
  2023-07-31 15:29 - 2023-07-31 15:29 - 000000000 __SHD C:\ProgramData\princeton-produce
  Unlock: C:\Program Files (x86)\Kaspersky Lab
  Unlock: C:\ProgramData\Kaspersky Lab
  FirewallRules: [{61F9335F-6EA4-4FA9-867E-1939969D13E2}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{A3EC388A-78C1-4144-8BD6-98FEB980359F}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Виктор Аверьянов]

При сохранении кодировку не спросил. Нажал не то, нажал сканировать. Повторил еще раз, нажав исправить.

Обновление антивируса прошло. Касперский сразу же завалил сообщениями.

Я так понимаю, это финал?

СПАСИБО ВАМ!!!

Fixlog.txt

[Sandor]

Ни о какой кодировке речи не было. Скрипт успешно выполнился из буфера обмена как и было задумано.

 

Раз всё работает штатно, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Виктор Аверьянов]

По поводу кодировки. Я прочитал:

Скопируйте выделенный текст

Что с ним делать, так и не понял. Не подозревал, что программа будет работать с буфером обмена. Поэтому пошел к инструкции, которую вы дали:

"Подробнее читайте в этом руководстве."

Но похоже все сработало.

Запустил uninstall.exe 

После перезагрузки он пропал.

 

По SecurityCheck отступил от вашей инструкции. Как-то не привык работать с рабочим столом. Сохранил в папочке, распаковал и запустил. Лог прилагаю.

 

По поводу:

"Остальные утилиты лечения и папки можно просто удалить."

Наверно не для меня. Я по натуре куркуль, все сохранил, потом поразглядываю.
Посмотрел последний лог предупреждения увидел, но это уже не про вирусы.

SecurityCheck by glax24.txt