Перейти к содержанию

[РЕШЕНО] ReaItekHD никак не получается победить


NKTN

Рекомендуемые сообщения

Всем доброго времени суток!

Второй день пытаюсь победить данный майнер, тщетно - качественно пробрался в недры системы(

AutoLogger вырубает на запуске! AV block - результатов нет. Вроде пишет, что нашел лишнего пользователя и даже как будто всё удаляет, но при перезагрузке всё на месте. Такое ощущение, что где то прописана копия глубоко... не чистка реестра ни удаление всего, что напоминает файлы winserv.exe, taskhost.exe и taskhostw.exe, результатов не приносит(

Научился руками его рубить. В свойствах папок снимаю галку со "скрывать системные файлы", в диспетчере задач вырубаю их (winserv.exe, taskhost.exe и taskhostw.exe), пока он тупит и не рубит мне окно, открываю путь к папкам где все это лежит и удаляю. После этого все работает нормально, но после перезагрузки всё опять возвращается.

К сообщению прикладываю файл CollectionLog-2023.08.21-22.56.zip проверка выполнена в "Безопасном режиме"

CollectionLog-2023.08.21-22.56.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

В безопасном режиме:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryHosts - C:\ProgramData\Microsoft\Network\F0PdRTrkw8e\MapInfoT.bat (not signed)

Перезагрузите компьютер.

 

Далее пробуйте работать в нормальном режиме:

AVbr и после перезагрузки его отчёт.

Затем новый CollectionLog.

 

Ссылка на комментарий
Поделиться на другие сайты

51 минуту назад, Sandor сказал:

Здравствуйте!

 

В безопасном режиме:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):


O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O22 - Tasks: \Microsoft\Windows\MapInfoT\RecoveryHosts - C:\ProgramData\Microsoft\Network\F0PdRTrkw8e\MapInfoT.bat (not signed)

Перезагрузите компьютер.

 

Далее пробуйте работать в нормальном режиме:

AVbr и после перезагрузки его отчёт.

Затем новый CollectionLog.

 

 

Благодарю, за решение. Перестало плодиться. 

CollectionLog-2023.08.22-01.45.zip

Ссылка на комментарий
Поделиться на другие сайты

Если запускали, как я просил AVbr, его отчёт тоже прикрепите.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
 

Цитата

Adobe Flash Player 10 Plugin

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

17 часов назад, Sandor сказал:

Здравствуйте! Всё сделал как сказали.

 

Цитата

 

 

Благодарю, за решение. Перестало плодиться. 

AV_block_remove_2023.08.22-01.38.log Addition.txt FRST.txt

Изменено пользователем Sandor
Удалил карантин
Ссылка на комментарий
Поделиться на другие сайты

Хорошо, некоторую очистку сделаем.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    Task: {0DFF090F-FBF7-452B-9D02-9184109317D6} - \GoogleUpdateTaskMachineCore{05CFECED-8FF1-4DCE-A134-9650F0D3975D} -> Нет файла <==== ВНИМАНИЕ
    Task: {F64AAEE6-6C60-4399-A405-377BBFE50D44} - \GoogleUpdateTaskMachineUA{86FC69B7-286F-414E-BAF7-B26B1BC9CEA0} -> Нет файла <==== ВНИМАНИЕ
    S3 458E832A9B35D4EE; \??\C:\Users\Admin\AppData\Local\Temp\7156805C-503CB7E0-25A2A7A4-4CE86970\d9df1adf.sys [X] <==== ВНИМАНИЕ
    2023-08-21 18:43 - 2023-08-21 18:43 - 000000000 __SHD C:\ProgramData\princeton-produce
    2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Users\Admin\AppData\Roaming\Sysfiles
    2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Program Files\QuickCPU
    2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 __SHD C:\Program Files\NETGATE
    2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 ____D C:\Program Files\CPUID
    2023-08-17 22:18 - 2023-08-17 22:18 - 000000000 ____D C:\Program Files (x86)\MSI
    HKU\S-1-5-21-1511357022-636881267-362080373-1000\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Папку C:\ProgramData\Microsoft\Network\F0PdRTrkw8e удалите вручную.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Microsoft Office Excel 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice


FileZilla 3.60.2 v.3.60.2 Внимание! Скачать обновления
Microsoft Office PowerPoint 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Google Drive v.68.0.2.0 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Архиватор WinRAR v.5.01.0 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Telegram Desktop v.4.8.5 Внимание! Скачать обновления
Combined Community Codec Pack 2008-01-24 v.2008-01-24 00:00 Данная программа больше не поддерживается разработчиком.
K-Lite Mega Codec Pack 10.2.0 v.10.2.0 Внимание! Скачать обновления
Adobe Reader 9.2 - Russian v.9.2.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

по возможности исправьте указанное, и на этом закончим

Ссылка на комментарий
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • monwron
      От monwron
      В процессе установки антивируса просит перезагрузить пк, перезагружаю, продолжаю установку антивируса и далее его нет НИГДЕ в системе. Ремоут тулом пк проверял, чето там нашел и удалил, но проблему не решило
      Помогите пожалуйста!
       
      CollectionLog-2024.11.15-02.50.zip
      FRST.txt Addition.txt
    • fodymoran
      От fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • webassasin123
      От webassasin123
      Здравствуйте!
      В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

       
      Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 
       
      Лог  с AVZ 
      avz_log.txt
       
      Лог с FRST
      FRST.txtAddition.txt
       
    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • niromerskiy
      От niromerskiy
      Добрый день, с недавних пор заметил что компьютер начал себя странно вести. В частности играя мой ФПС в играх не с того не с сего со 120 падал до 30 и не поднимался до перезапуска ПК. Думал на все кроме майнера, дошло время я решил посмотреть журналы Защитника Виндовс, и понял что у меня с ним что-то не то, он вроде как работает, но при этом и не работает. Начал пытаться чинить его, и вдруг резко задумался о том может ли это быть связанно с вирусами, сразу подумал на майнер. Начал писать в яндексе запрос "Как проверить ПК на наличие МАЙНЕРА", браузер закрывался почти мгновенно. Начитался на форумах и вспомнил что не так давно с момента как ПК начал себя плохо вести, я активировал Microsoft Office через КМС, в основном пользовался всегда своим проверенным, но потеряв его я решил найти в интернете, как я полагаю начало было положено именно с него. Помогите избавиться от майнера.
×
×
  • Создать...