Перейти к содержанию
Правила раздела

[РЕШЕНО] Скачал торрент, грузит проц., закрывает диспетчер и браузер

Franky

Автор Franky
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Franky

Franky

Опубликовано
Опубликовано

Доброго времени суток.

Недавно установил торрент с вирусом/майнером. Грузит проц, закрывает диспетчер, папки, браузер. 
Немного почитав форумы, с трудом скачал Dr.Web CureIt, производил проверки, каждый раз выдает одни задачи вирусные (taskhostw.exe и прочее). 
Произвел проверку автологером с безопасного режима и сеть (только так получилось). Еще прикрепляю лог с avz.
Также отсканировал фарбаром, джон был удален, прикрепляю результаты. Благодарю заранее за вашу работу.

CollectionLog-2023.08.21-12.40.zip AV_block_remove.log FRST.txt Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\GlobalDataD.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\tseicssGxZyzSnxqwWF');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-79579972-728444775-4109026861-1002\...\Policies\Explorer: [DisallowRun] 1
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Users\admin\AppData\Roaming\Sysfiles
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
FirewallRules: [TCP Query User{3E3EC179-F6F9-40B9-8474-8E543CF60DB7}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{BDEAA0B4-3D55-48F0-8E8D-BCBB1F6482B8}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{29147C18-64D4-422A-84DB-341BF495ACC3}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{A03E3F26-276E-43D5-9E6E-EFA2877756D0}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{B55F7D9A-269B-471F-9FAD-73C898A7326A}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A62AB390-7ACD-477F-9983-9CAA10CFC254}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{B0465C7A-6D86-4CFE-BC07-EA4BF4217ACD}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{EFB63172-A981-48F5-A307-126F39F4990C}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
Folder: C:\ProgramData\Microsoft\Network
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Папку C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF удалите вручную

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.38.1 Внимание! Скачать обновления
Microsoft 365 - kk-kz v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft 365 - ru-ru v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.2 v.7.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
Node.js v.19.0.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
GitHub Desktop v.3.1.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.131.0619.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.103.0.1264.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

по возможности исправьте указанное, и на этом закончим

  • Спасибо (+1) 1
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • enlistez
      Вирус-майнер закрывает диспетчер задач и браузер
      Автор enlistez
      Подхватил майнер, закрывает диспетчер задач через секунду-две после открытия, аналогично быстро закрывает браузер, остановленные процессы запускаются вновь спустя 5-7 минут, помогите разобраться 
    • korenis
      браузер закрывается сам по себе
      Автор korenis
      Скачал установщик адоб премьера с левого сайта, в итоге появился вирус, который закрывает браузер и устанавливает расширение. Антивирусы удаляют эти расширения, но при следующем запуске браузера всё возвращается. Логи и фото прикрепляю.CollectionLog-2025.07.02-12.07.zip
    • Гость
      вирус UtorrentProPro грузит проц до 100%
      Автор Гость
      после скачивания очередной игры заметил что процессор в простое стал грузиться.
      если попытаться удалить папку с торрентом он скачивается заново после перезапуска винды
      CollectionLog-2024.09.02-17.31.zip
    • N0BuKoB
      [РЕШЕНО] Видимо майнер. Грузит проц, нагрев до 70, гузит ОЗУ. Не постоянно
      Автор N0BuKoB
      1. !Обнаружил нагружение ОЗУ под 100% при работе в браузере Mozzilla. Вкладки - Вотсап, телеграм, ютуб, майл.ру, дзен. (Всегда в закрепе ничего нового)
      2. Установлен AnVir Task Manager. Ничего лишнего на первый взгляд не обнаружено.
      3. Дело забросил, думал времена такие ОЗУ искать начал на побольше.
      4. !Вдруг начал срабатывать вентилятор охлаждения. Ни разу до этого не слышал как он шумит. Напрягся.
      5. В итоге в AnVir Task Manager. обнаружены в расширенной загрузки wow64, wow64base, xtajit64. При попытке отключить "отказано в доступе"
      6. Скачен KVRT. Проведена проверка. Угроз не найдено.
      7. Закрыл AnVir Task Manager. Зашел заново. "Левых" файлов стало с десяток. Скрин во вложении
      8. Провел проверку KVRT. Угроз не обнаружено.
      9. Скачен АвтоЛогер. Во вложении отчет
       
      Пи.Эс.
      Смущает "Касперский" как ново установленное приложение.Скрин 2
       
      Пи.Пи.ЭС Пишу все это через защищенный браузер. Через Касперский Plus запустил. В других долго грузит и не открывает оф. сайт., форум.
      И похоже в Мозиле при запуске браузер отключается расширение Касперский.

      CollectionLog-2024.01.18-11.29.zip

    • Shooky27
      [РЕШЕНО] CHROMIUM.PAGE.MALWARE.URL? Хром закрывается сам по себе
      Автор Shooky27
      Заметил что при запуске Google Chrome он грузится ~ 10-15 секунд и закрывается, после повторного запуска браузер открывается без расширений (с предустановленным расширением PDF Viewer?) и из-за синхронизации расширения устанавливаются обратно.
      При сканировании антивирусом PRO32 ничего не выскакивает, сканировал все диски в том числе все папки на рабочем столе и ничего не нашло, Dr.Web Cureit находит упомянутый в заголовке CHROMIUM.PAGE.MALWARE.URL, но при попытке вылечить выскакивает "Ошибка при лечении".
      Пробовал исправить данную проблему с помощью AvBr, ADWcleaner, FRST. Пробовал даже скопировать скрипты с различных тем с такой же проблемой, но ничего не помогло. Также пробовал отключать синхронизацию, поскольку некоторые пользователи сталкивавшиеся с такой же проблемой ссылались на проблему синхронизации, но это тоже не помогло. 
      Логи прикрепляю.
      CollectionLog-2025.06.28-22.48.zip
×
×
  • Создать...