Перейти к содержанию
Правила раздела
Задай вопрос Александру Ильину!

[РЕШЕНО] Скачал торрент, грузит проц., закрывает диспетчер и браузер

Franky

Автор Franky,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Franky

Franky 0

Опубликовано
Опубликовано

Доброго времени суток.

Недавно установил торрент с вирусом/майнером. Грузит проц, закрывает диспетчер, папки, браузер. 
Немного почитав форумы, с трудом скачал Dr.Web CureIt, производил проверки, каждый раз выдает одни задачи вирусные (taskhostw.exe и прочее). 
Произвел проверку автологером с безопасного режима и сеть (только так получилось). Еще прикрепляю лог с avz.
Также отсканировал фарбаром, джон был удален, прикрепляю результаты. Благодарю заранее за вашу работу.

CollectionLog-2023.08.21-12.40.zip AV_block_remove.log FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\GlobalDataD.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\tseicssGxZyzSnxqwWF');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-79579972-728444775-4109026861-1002\...\Policies\Explorer: [DisallowRun] 1
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Users\admin\AppData\Roaming\Sysfiles
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
FirewallRules: [TCP Query User{3E3EC179-F6F9-40B9-8474-8E543CF60DB7}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{BDEAA0B4-3D55-48F0-8E8D-BCBB1F6482B8}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{29147C18-64D4-422A-84DB-341BF495ACC3}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{A03E3F26-276E-43D5-9E6E-EFA2877756D0}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{B55F7D9A-269B-471F-9FAD-73C898A7326A}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A62AB390-7ACD-477F-9983-9CAA10CFC254}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{B0465C7A-6D86-4CFE-BC07-EA4BF4217ACD}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{EFB63172-A981-48F5-A307-126F39F4990C}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
Folder: C:\ProgramData\Microsoft\Network
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Папку C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF удалите вручную

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.38.1 Внимание! Скачать обновления
Microsoft 365 - kk-kz v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft 365 - ru-ru v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.2 v.7.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
Node.js v.19.0.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
GitHub Desktop v.3.1.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.131.0619.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.103.0.1264.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

по возможности исправьте указанное, и на этом закончим

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 419

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • ristrograd
      [РЕШЕНО] Процесс powershell.exe нагружает видеокарту на 100%
      От ristrograd
      С помощью Dr.Web CureIt! находит Tool.btcmine.2405, но не получается его удалить, ибо каждый раз находит его снова. При запуске диспетчера задач или отключения от сети процесс пропадает.
      CollectionLog-2023.09.24-17.28.zip
    • Egor2287172
      Майнер блокирует доступ к avbr
      От Egor2287172
      Уже все перепробовал, майнер не дает ничего открыть, пользователь John появился и запретил всему доступ, скачал FRST, но не знаю как правильно сделать исправление
      FRST.txtAddition.txt
    • Uglevodniy_Baton
      Вирус майнер грузит процессор под 100% AVBR, Cureit, KVRT, Касперский не помогли. Также процессор грузится даже без интернета
      От Uglevodniy_Baton
      CollectionLog-2023.09.18-22.24.zip
    • vv3
      Про вирусы и прочее
      От vv3
      1)возможно ли взломать конвертер в котором сперва идет оптоволокно и от этого конвертера идет провод интернета в компьютер напрямую?
      И если да,то возможно  ли что если пк заразился,то вирус может остаться в конвертере,даже если переустановить винду ?
      Просто когда мне интернет устанавливал мастер от провайдера,он сказал мол если заразишься,то минус конвертера в том,что надо будет его "Чистить" , хз че это означает.
      Для примера вот название конвертер   - Медиаконвертер GIGALINK GL-MC-UTPF-SC1F-18SM-1310-N
       
      2)Возможно ли что  если делать загрузочную флешку через офф утилиту Microsoft на зараженном пк,где из антивируса стоит только Windows Defender,то вирус может уже попасть в новую систему при записи?

      3)Существуют ли к примеру вирусы которые могут быть в телефоне и когда будешь обмениваться файлами через Bluetooth ,например с ноутом или другим телефоном,то вирусы перекочуют на новое устройство ?

      4)Возможно самый глупый вопрос который спрошу - Если раздавать интернет с телефона  через точку доступа на устройства - может ли на них попасть вирус?)
      5)Есть ли вирусы на сим картах телефона или могут ли они залезть туда если заразился телефон ?

       
    • Ross
      PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic
      От Ross
      Здравствуйте, решил скачать кряк для Adobe Lightroom, после его установки и "патча" Каспер через несколько минут заругался и нашёл 2 вируса PDM:Trojan.Win32.Bazon.a, так же PDM:Trojan.Win32.Generic, один из них он определил как Майнер, на диске С появилась папка Google/Chrome/updater.exe на этот 'updater' он и ругался
      кряк я удалил(Adobe GenP 3.0), Каспер начал их удалять, всё получилось в отчётах написано что Generic и Bazon удалены, после этого начал полное сканирование, иногда оно останавливалось на 50 потом на 70 и 90%, но потом продолжал сканирование, это меня смутило, вдруг что-то мог пропустить? Могут ли эти трояны вернуться или как либо подгружаться в систему даже после удаления Каспером? и есть ли возможность полностью проверить систему на отсутствие этих гадов в системе?? Так-же в момент поражения пк этими зловредами в нем находилась флешка, очень важная для работы! Могли ли они как-то перекочевать на нее? Каспером её тоже проверил, он пишет что угроз нет! Прикрепляю отчет мониторинга и отчет Полного сканирования после удаления троянов! Заранее спасибо)
      отчёт мониторинга.txt полная проверка каспер(после удаления).txt
×
×
  • Создать...