Перейти к содержанию
Правила раздела
Встреча клуба на Новогодней ярмарке

Майнер или троян

xxxholic

Автор xxxholic,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

xxxholic

xxxholic 0

Опубликовано
Опубликовано

Здравствуйте! После проверки rougekiller нашлось 2 вируса, которые он не смог удалить C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64 2 и С:\Windows\Fonts\Mysql. Вначале использовал AV block remove. После перезагрузки собрал логи AutoLogger. Файлы прикрепляю 

AV_block_remove_2023.10.05-17.21.log CollectionLog-2023.10.05-18.06.zip

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Здравствуйте!

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

"Пофиксите" в HijackThis только эту строчку: 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing)

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Ещё некоторый мусор удалим:

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
U4 CDPUserSvc_3745a; отсутствует ImagePath
U4 OneSyncSvc_4436f; отсутствует ImagePath
U4 PimIndexMaintenanceSvc_4436f; отсутствует ImagePath
U4 Sense; отсутствует ImagePath
U4 UnistoreSvc_4436f; отсутствует ImagePath
U4 UnistoreSvc_65bd5; отсутствует ImagePath
U4 UserDataSvc_4436f; отсутствует ImagePath
U4 WpnUserService_21118; отсутствует ImagePath
U4 WpnUserService_23f1a; отсутствует ImagePath
U4 WpnUserService_3a48a; отсутствует ImagePath
U4 WpnUserService_652ee; отсутствует ImagePath
2023-07-09 02:33 C:\ProgramData\princeton-produce
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhioihinfh [0]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Если других проблем больше нет, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 201

Опубликовано
Опубликовано

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5030211 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба остановлена
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.21.5.2 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.25.1.27 v.3.25.1.27 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.07 (x64) v.21.07 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9006 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Audacity 3.2.2 (Все пользователи) v.3.2.2 Внимание! Скачать обновления
Audacity 2.10.24 v.2.10.24 Внимание! Скачать обновления
HandBrake 1.5.1 v.1.5.1 Внимание! Скачать обновления
K-Lite Codec Pack 17.3.0 Standard v.17.3.0 Внимание! Скачать обновления
QuickTime v.7.60.92.0 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.9.0.2272 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • bittok23
      MEM:Trojan.Win32.SEPEH.gen словил этот троян
      От bittok23
      Пытался удалить разными способами, ничего не получается
       
      CollectionLog-2023.11.25-21.40.zip
    • mtt
      MEM:Trojan.Win32.SEPEH.gen
      От mtt
      kvrt обнаружил троян MEM:Trojan.Win32.SEPEH.gen. При попытке лечения чёрный экран.
       
      CollectionLog-2023.11.16-19.07.zip
    • Илья771
      [РЕШЕНО] Trojan.Multi.GenAutorunReg.a как удалить?
      От Илья771
      В мониторинге активности  в Kaspersky Internet Security появляются следующие сообщения
       
      Событие: Обнаружен вредоносный объект
      Пользователь: LAPTOP-6E6IL8NS\ivano
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: Trojan.Multi.GenAutorunReg.a
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Экспертный анализ
      Дата выпуска баз: Сегодня, 09.11.2023 4:59:00
       
      После лечения и перезагрузки при выполнении полной проверки написано, что угроз не обнаружено, но через некоторое время троян снова появляется
       
      Ссылка на лог (не нашел как прикрепить файлом) https://drive.google.com/file/d/1VA9HPyE1nDvZylA_nbNCMldgjeijKm1c/view?usp=sharing
    • Moonbeam
      [РЕШЕНО] Опять прилетел Trojan.Multi.GenAutorunProc.a((
      От Moonbeam
      Опять здравствуйте! Сегодня KIS опять обнаружил троян. Помогите пожалуйста.
      CollectionLog-2023.11.05-15.30.zip
    • Степанов Владимир
      Защитник Виндовс 10 обнаружил вирус
      От Степанов Владимир
      Добрый вечер.
      У меня на домашнем компе Защитник Виндовс 10 обнаружил вирус в файле, находящемся в папке: AV_block_remover\taskhostw.exe: Behavior:Win32/Persistence.A!ml
      process: pid:17160,ProcessStart:133434935668816440
      Это происходит примерно за полгода второй или третий раз.
      То есть у меня на компе сидит скрытый Майнер, который никакой антивирусник удалить не может или я что то неправильно понимаю??
      В этой теме была похожая ситуация, такой же вирус: https://forum.kasperskyclub.ru/topic/419725-majner-behaviorwin32persistenceaml-sedaet-kompjuter-i-ne-udaljaetsja/
       
      Сообщение от модератора thyrex Перенесено из темы  
×
×
  • Создать...