Перейти к содержанию

[РЕШЕНО] Скачал торрент, грузит проц., закрывает диспетчер и браузер


Рекомендуемые сообщения

Доброго времени суток.

Недавно установил торрент с вирусом/майнером. Грузит проц, закрывает диспетчер, папки, браузер. 
Немного почитав форумы, с трудом скачал Dr.Web CureIt, производил проверки, каждый раз выдает одни задачи вирусные (taskhostw.exe и прочее). 
Произвел проверку автологером с безопасного режима и сеть (только так получилось). Еще прикрепляю лог с avz.
Также отсканировал фарбаром, джон был удален, прикрепляю результаты. Благодарю заранее за вашу работу.

CollectionLog-2023.08.21-12.40.zip AV_block_remove.log FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\GlobalDataD.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\tseicssGxZyzSnxqwWF');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-79579972-728444775-4109026861-1002\...\Policies\Explorer: [DisallowRun] 1
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Users\admin\AppData\Roaming\Sysfiles
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
FirewallRules: [TCP Query User{3E3EC179-F6F9-40B9-8474-8E543CF60DB7}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{BDEAA0B4-3D55-48F0-8E8D-BCBB1F6482B8}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{29147C18-64D4-422A-84DB-341BF495ACC3}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{A03E3F26-276E-43D5-9E6E-EFA2877756D0}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{B55F7D9A-269B-471F-9FAD-73C898A7326A}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A62AB390-7ACD-477F-9983-9CAA10CFC254}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{B0465C7A-6D86-4CFE-BC07-EA4BF4217ACD}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{EFB63172-A981-48F5-A307-126F39F4990C}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
Folder: C:\ProgramData\Microsoft\Network
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Папку C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF удалите вручную

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.38.1 Внимание! Скачать обновления
Microsoft 365 - kk-kz v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft 365 - ru-ru v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.2 v.7.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
Node.js v.19.0.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
GitHub Desktop v.3.1.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.131.0619.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.103.0.1264.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

по возможности исправьте указанное, и на этом закончим

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • JAZZ and JAZZ
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • Marchi
      От Marchi
      не знаю после чего конкретно началась проблема.
      Довольно долго я просто игнорировал нытьё компа о каких то там разрешениях, мол, хочешь чтобы разрешили? на, радуйся.
      Однако в какой-то момент просто надоело. 
      Пошёл разбираться что за лаунчер такой, обнаружил их аж 2 шт, снёс через обычное удаление программ ( и gt26-launcher и просто gt-launxer, оба снёс)
      Комп стал ныть что какой-то там сценарий (tasklC.vbs) не может найти какой-то файл...
      В общем очень хочется извести эту муть с ПК.
      Видел в темах подобный случай, но побоялся делать по инструкции от туда, мало ли...

      Помогите пожалуйста....
      CollectionLog-2024.10.06-06.00.zip
    • Crossbean
      От Crossbean
      Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.
      Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt
    • ilyaperminov2010
      От ilyaperminov2010
      Помогите, подцепил вирус, клипер какой то наверно. Началось всё с того что стал подменять номер кошелька в буфере. Когда начал разбираться то вирус стал закрывать диспетчер задач, папку ProgamData(открыл через другую прогу а в ней есть папка Avira которая не открывается и не удаляется), вкладки в браузере, браузер при поиске слова вирус и т.д.,
      Помогите что делать, какие логи откуда прислать?
    • KirillR
      От KirillR
      После каждой перезагрузки KTS, а теперь и Plus находит Mem:Trojan.Win.32.sepeh.gen . Жаловался на объект pmem:\c:\program files(x86)\windows mail\wabmig.exe , после удаления вручную этой папки, теперь находит в explorer.
      Если лечить без перезагрузки, проблема вроде как пропадает, но после перезагрузки повторяется
      KVRT - угроз не нашел
      CollectionLog-2024.10.01-11.11.zip
×
×
  • Создать...