Перейти к содержанию

[РЕШЕНО] Скачал торрент, грузит проц., закрывает диспетчер и браузер


Рекомендуемые сообщения

Опубликовано

Доброго времени суток.

Недавно установил торрент с вирусом/майнером. Грузит проц, закрывает диспетчер, папки, браузер. 
Немного почитав форумы, с трудом скачал Dr.Web CureIt, производил проверки, каждый раз выдает одни задачи вирусные (taskhostw.exe и прочее). 
Произвел проверку автологером с безопасного режима и сеть (только так получилось). Еще прикрепляю лог с avz.
Также отсканировал фарбаром, джон был удален, прикрепляю результаты. Благодарю заранее за вашу работу.

CollectionLog-2023.08.21-12.40.zip AV_block_remove.log FRST.txt Addition.txt

Опубликовано

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\GlobalDataD.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
 DeleteFile('C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF\Game.exe','64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\RecoveryTask');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataD\tseicssGxZyzSnxqwWF');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe','32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

  • Спасибо (+1) 1
Опубликовано

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar

  • Спасибо (+1) 1
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-79579972-728444775-4109026861-1002\...\Policies\Explorer: [DisallowRun] 1
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Users\admin\AppData\Roaming\Sysfiles
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\ProgramData\princeton-produce
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\QuickCPU
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files\NETGATE
2023-08-18 11:18 - 2023-08-18 11:18 - 000000000 __SHD C:\Program Files (x86)\GPU Temp
FirewallRules: [TCP Query User{3E3EC179-F6F9-40B9-8474-8E543CF60DB7}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [UDP Query User{BDEAA0B4-3D55-48F0-8E8D-BCBB1F6482B8}C:\users\admin\appdata\roaming\utorrent\utorrent.exe] => (Allow) C:\users\admin\appdata\roaming\utorrent\utorrent.exe => Нет файла
FirewallRules: [TCP Query User{29147C18-64D4-422A-84DB-341BF495ACC3}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{A03E3F26-276E-43D5-9E6E-EFA2877756D0}D:\battle.net\hearthstone\hearthstone.exe] => (Block) D:\battle.net\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [TCP Query User{B55F7D9A-269B-471F-9FAD-73C898A7326A}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A62AB390-7ACD-477F-9983-9CAA10CFC254}C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\admin\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{B0465C7A-6D86-4CFE-BC07-EA4BF4217ACD}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
FirewallRules: [UDP Query User{EFB63172-A981-48F5-A307-126F39F4990C}D:\hearthstone\hearthstone.exe] => (Allow) D:\hearthstone\hearthstone.exe => Нет файла
Folder: C:\ProgramData\Microsoft\Network
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
  • Спасибо (+1) 1
Опубликовано

Папку C:\ProgramData\Microsoft\Network\tseicssGxZyzSnxqwWF удалите вручную

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Спасибо (+1) 1
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------


Git v.2.38.1 Внимание! Скачать обновления
Microsoft 365 - kk-kz v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft 365 - ru-ru v.16.0.15330.20230 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 7.0.2 v.7.0.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
Node.js v.19.0.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
GitHub Desktop v.3.1.2 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.74.3 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.22.131.0619.0001 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom v.5.12.2 (9281) Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 100.0.4815.82 v.100.0.4815.82 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Microsoft Edge v.103.0.1264.62 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

по возможности исправьте указанное, и на этом закончим

  • Спасибо (+1) 1
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • Сава
      Автор Сава
      Добрый день, возникла проблема
       
      Ваши файлы были зашифрованы. Чтобы расшифровать их, Вам необходимо отправить код: 649BCB4DE5CB3267B4B0|286|2|2 на электронный адрес files1147@gmail.com или post100023@gmail.com . Далее вы получите все необходимые инструкции.   Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации. (и так же на английском)    Прикрепляю лог проверки.   Заранее благодарю за помощь!   CollectionLog-2015.06.24-19.20.zip
×
×
  • Создать...