Слава999 0 Опубликовано 29 августа, 2023 Share Опубликовано 29 августа, 2023 Добрый вечер, подцепил майнер джон, все уже перепробовал не могу удалить, перечитал много форумов не получается, открыть программы не получается для устранения проблемы, помогите пожалуйста советом Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 29 августа, 2023 Автор Share Опубликовано 29 августа, 2023 С помощью Farbar Recovery Scan Tool сделал сканирование в безопасном режиме. FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 29 августа, 2023 Share Опубликовано 29 августа, 2023 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ HKU\S-1-5-21-127864874-1257540592-420147299-1001\...\MountPoints2: {b9f7a7fb-2061-11ec-841e-382c4a628c58} - "E:\Setup.exe" HKU\S-1-5-18\...\Run: [] => [X] Task: {6772566F-D0E9-4E15-9EA3-A01F07B59398} - System32\Tasks\Microsoft\Windows\CheckGlobalY\RecoveryHosts => C:\ProgramData\Microsoft\Network\XINxhjJ\CheckGlobalY.bat [2771 2023-08-29] () [Файл не подписан] <==== ВНИМАНИЕ Task: {71E028E3-0F26-4231-8A82-4A0091B85F91} - System32\Tasks\Microsoft\Windows\CheckGlobalY\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ Task: {76657C3D-8F62-4A13-B291-8977205CCF76} - System32\Tasks\Microsoft\Windows\CheckGlobalY\XINxhjJ => C:\Programdata\ReaItekHD\taskhost.exe [22820368 2023-08-07] (Microsoft Corporation) [Файл не подписан] <==== ВНИМАНИЕ C:\ProgramData\Microsoft\Network\XINxhjJ\CheckGlobalY.bat Task: {CDF82114-A44B-43CD-B012-F82B8A2AD186} - System32\Tasks\Microsoft\Windows\WindowsBackup\ManagerSystem => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ Task: {F11BA4AA-7C93-48DD-9C63-8BF6292F88CE} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [30855696 2023-08-08] (Realtek Semiconductor) [Файл не подписан] <==== ВНИМАНИЕ Task: {5E532709-9A52-441D-95B5-8F753D0FE386} - System32\Tasks\Microsoft\Windows\Wininet\Hor => C:\ProgramData\Microsoft\Network\XINxhjJ\Game.exe [53231134 2023-08-08] () [Файл не подписан] Task: {0CE9CEBB-5826-403A-9AA8-89CDEBF5985F} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ Task: {B2AB7D86-52DF-4626-A545-283672B4521C} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) [Файл не подписан] -> Task Service\winserv.exe <==== ВНИМАНИЕ C:\ProgramData\Microsoft\Network\XINxhjJ Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте AV block remover. Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. Удалите старые файлы FRST.txt и Addition.txt, сделайте новые логи Farbar Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 29 августа, 2023 Автор Share Опубликовано 29 августа, 2023 Fixlog.txt Addition.txt FRST.txt AV_block_remove_2023.08.30-01.14.log Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 29 августа, 2023 Share Опубликовано 29 августа, 2023 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: Task: {970A4EA2-F3EE-4738-8044-18C2C9A3E88F} - System32\Tasks\Hewlett-Packard\HP Active Health\HP Active Health Scan (HPSA) => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPActiveHealth\ActiveHealth.exe -task -source HPSA (Нет файла) Task: {3D2F01B0-C2AE-46F7-8F41-B22A0A22D9AC} - System32\Tasks\HPJumpStartLaunch => "C:\Program Files (x86)\HP\HP JumpStart Launch\HPJumpStartLaunch.exe" (Нет файла) Edge Extension: (Нет имени) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [не найдено] Edge Extension: (Нет имени) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [не найдено] Edge Extension: (Нет имени) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [не найдено] Edge Extension: (Нет имени) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [не найдено] 2023-08-29 12:28 - 2023-08-29 12:28 - 000000000 __SHD C:\Users\User\AppData\Roaming\Sysfiles 2023-08-29 12:28 - 2023-08-29 12:28 - 000000000 __SHD C:\Program Files\NETGATE 2023-05-20 09:38 C:\ProgramData\princeton-produce CustomCLSID: HKU\S-1-5-21-127864874-1257540592-420147299-1001_Classes\CLSID\{345D3165-3889-4694-AB75-A91A27B217E8}\localserver32 -> D:\Autodesk\AutoCAD 2022\acad.exe => Нет файла CustomCLSID: HKU\S-1-5-21-127864874-1257540592-420147299-1001_Classes\CLSID\{8B4929F8-076F-4AEC-AFEE-8928747B7AE3}\localserver32 -> D:\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла CustomCLSID: HKU\S-1-5-21-127864874-1257540592-420147299-1001_Classes\CLSID\{AA46BA8A-9825-40FD-8493-0BA3C4D5CEB5}\localserver32 -> D:\Autodesk\AutoCAD 2022\acad.exe /Automation => Нет файла CustomCLSID: HKU\S-1-5-21-127864874-1257540592-420147299-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Autodesk\AutoCAD 2022\ru-RU\acadficn.dll => Нет файла C:\Users\User\Desktop\Программы\AutoCAD 2022 — Русский (Russian).lnk BHO: Нет имени -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> Нет файла BHO-x32: Нет имени -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> Нет файла IE trusted site: HKU\S-1-5-21-127864874-1257540592-420147299-1001\...\webcompanion.com -> hxxp://webcompanion.com FirewallRules: [TCP Query User{5DEBBD1C-15BB-4F1E-8583-40C8F7040B71}D:\games\ red dead redemption 2\rdr2.exe] => (Allow) D:\games\ red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [UDP Query User{32827A30-1885-4F77-B585-6336FB54BC99}D:\games\ red dead redemption 2\rdr2.exe] => (Allow) D:\games\ red dead redemption 2\rdr2.exe => Нет файла FirewallRules: [TCP Query User{8B38B9ED-6723-48D7-90BE-D98978BF0424}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Block) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла FirewallRules: [UDP Query User{B563AD77-31F4-470D-BF3C-D00CD72C98B5}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Block) C:\programdata\wargaming.net\gamecenter\wgc.exe => Нет файла FirewallRules: [TCP Query User{70A077C2-9D67-4683-A8E0-88B1ECCA277B}D:\games\crysis remastered\bin64\crysisremastered.exe] => (Allow) D:\games\crysis remastered\bin64\crysisremastered.exe => Нет файла FirewallRules: [UDP Query User{4E866849-AB30-4743-BF1C-79FECE314EFD}D:\games\crysis remastered\bin64\crysisremastered.exe] => (Allow) D:\games\crysis remastered\bin64\crysisremastered.exe => Нет файла FirewallRules: [TCP Query User{0FE1EEE2-3810-47B8-B0D1-B7DBF1F07CB3}C:\users\user\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\user\appdata\roaming\utorrent\utorrent.exe => Нет файла FirewallRules: [UDP Query User{A03611B9-F70F-46C6-97A4-F4C3B4990527}C:\users\user\appdata\roaming\utorrent\utorrent.exe] => (Block) C:\users\user\appdata\roaming\utorrent\utorrent.exe => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 30 августа, 2023 Автор Share Опубликовано 30 августа, 2023 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 30 августа, 2023 Автор Share Опубликовано 30 августа, 2023 Огромное спасибо, очень сильно помогли, проблема вроде как решилась!!! Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 августа, 2023 Share Опубликовано 30 августа, 2023 Далеко не убегайте, будут еще рекомендации, но чуть позже Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 30 августа, 2023 Автор Share Опубликовано 30 августа, 2023 Хорошо,но от этой гадости я как понимаю и вижу по работе пк,мы избавились? Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 августа, 2023 Share Опубликовано 30 августа, 2023 В целом избавились. Скрипт ниже выполните в безопасном режиме. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\Windows Tasks Service\winserv.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Прикрепите этот файл в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 30 августа, 2023 Автор Share Опубликовано 30 августа, 2023 Fixlog.txtSecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 августа, 2023 Share Опубликовано 30 августа, 2023 Цитата ONLYOFFICE Desktop Editors 5.3 v.5.3.95.61 Внимание! Скачать обновления Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.13001.20266 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Discord v.1.0.9003 Внимание! Скачать обновления -------------------------------- [ Java ] --------------------------------- Java 8 Update 341 (64-bit) v.8.0.3410.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^ --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.32.0.0.125 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ------------------------------- [ Browser ] ------------------------------- Google Chrome 100.0.4896.127 v.100.0.4896.127 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner v.6.15 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. по возможности исправьте указанное, и на этом закончим Ссылка на сообщение Поделиться на другие сайты
Слава999 0 Опубликовано 30 августа, 2023 Автор Share Опубликовано 30 августа, 2023 Ещё раз огромная благодарность, за вашу помощь, столько времени потратил на удаления этого паразита и все без толку, пока не написал вам. Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 30 августа, 2023 Share Опубликовано 30 августа, 2023 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения