Перейти к содержанию

поймал троян Trojan.Win64.Miner.gen


Рекомендуемые сообщения

CollectionLog-2023.10.18-18.49.zip

касперский при включении находит его и предлагает лечение с перезагрузкой, однако после перезагрузки ситуация повторяется

пробовал лечить по темам с форума, не помогло

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 DeleteFile('C:\ProgramData\poor-potato\bin.exe','64');
 DeleteSchedulerTask('gEKjFgHbI');
 DeleteSchedulerTask('potter-probably');
 DeleteFile('C:\Users\doman\mediaget2\mediaget_crashpad_handler.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1123479252-1991641812-1991015428-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {71B073D2-591E-4463-9D7B-191798F357DA} - System32\Tasks\Update for Yandex Telemost => C:\Users\doman\AppData\Roaming\Yandex\YandexTelemost\1.0.41.1245\YandexTelemost.exe  --background-update (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-1123479252-1991641812-1991015428-1001] => 185.169.183.101:8080
R2 MobSyncBrokerSvc_112d1c; C:\Windows\SysWOW64\mobsync.dll [188944 2023-10-18] (Microsoft Corporation) [Файл не подписан]
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
S2 TunnelBearMaintenance; "C:\Program Files (x86)\TunnelBear\TunnelBear.Maintenance.exe" [X]
Folder: C:\ProgramData\DeskFusion-b84df7a5-b483-4400-86c1-a910a9751ec9
2023-10-18 15:02 - 2023-10-18 20:42 - 000000000 __SHD C:\ProgramData\DeskFusion-b84df7a5-b483-4400-86c1-a910a9751ec9
2023-10-18 15:02 - 2023-10-18 15:02 - 001099548 _____ C:\Windows\SysWOW64\code129.dat
2023-10-18 15:02 - 2023-10-18 15:02 - 000188944 _____ (Microsoft Corporation) C:\Windows\SysWOW64\mobsync.dll
AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-1123479252-1991641812-1991015428-1001\...\{e3c4ae7b-1661-4892-9ab3-d7eafe2a3eab}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс.Телемост.lnk
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MediaGet2\Удалить MediaGet.lnk
C:\Users\doman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameCenter\Игровой центр.lnk
AlternateDataStreams: C:\ProgramData:err [1408]
AlternateDataStreams: C:\Users\All Users:err [1408]
AlternateDataStreams: C:\Users\Все пользователи:err [1408]
AlternateDataStreams: C:\ProgramData\Application Data:err [1408]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TM.blf:5871DAEAF9 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TMContainer00000000000000000001.regtrans-ms:FA3000FCE6 [5138]
AlternateDataStreams: C:\ProgramData\ntuser.dat{7a9888dc-2f6e-11ed-85e4-d85ed3a7c224}.TMContainer00000000000000000002.regtrans-ms:7740D96715 [5138]
AlternateDataStreams: C:\ProgramData\settings3.bin:0FC1DE5E8C [5138]
AlternateDataStreams: C:\ProgramData\settings3.bin:7C6F6E4861 [5138]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive для бизнеса.lnk:1438E2ED3D [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote 2016.lnk:86E8B79B48 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook 2016.lnk:21BFFA7D5A [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint 2016.lnk:E033AD74A8 [5138]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher 2016.lnk:17B869069B [5138]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7290]
FirewallRules: [{05516427-00C6-42E7-ABC4-29244916761B}] => (Allow) C:\Users\doman\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{9B040FA1-2145-40E0-8545-C8D48BE8EF90}] => (Allow) C:\Users\doman\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{48234540-6263-465B-8FBE-E7679E38E0D0}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{B8EA101C-92E6-4E04-AA65-C719A9F1FE50}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{536DB505-150A-48BB-A36F-46AB7375C6AB}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{C5F90EB5-1FA6-44B6-8F0F-91444983C56C}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{8ECB1F17-A384-40FA-ACAF-E9CCCE15E27D}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EABackgroundService.exe => Нет файла
FirewallRules: [{9298C106-A77A-48AA-8FA4-3FE1D9388564}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAConnect_microsoft.exe => Нет файла
FirewallRules: [{AD8EBA59-B56C-47D6-9C91-56BB0A22E015}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EADesktop.exe => Нет файла
FirewallRules: [{681F946D-040C-41F5-B386-7E7EB89189C9}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EAGEP.exe => Нет файла
FirewallRules: [{E362BD32-65F1-4C53-A033-49BD513B0B78}] => (Allow) C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALocalHostSvc.exe => Нет файла
FirewallRules: [{C43669DA-DE2F-4124-94FF-2305D22B40FE}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯卜氹ㅆ攮數 => Нет файла
FirewallRules: [{669497B0-2E68-42B1-9F5B-E4AF27D090E4}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
FirewallRules: [{6F13E06E-2DC5-4E77-B7DD-5A70067D3CB0}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
FirewallRules: [{2B3E978A-76C2-49DD-B91B-09A9A6034B9C}] => (Allow) 㩃啜敳獲摜浯湡䅜灰慄慴剜慯業杮瑜捯歜癚⸶硥e => Нет файла
FirewallRules: [TCP Query User{AD8BA7D6-E883-4761-854E-B16FC9D180C6}C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [UDP Query User{1E49D37F-CE3D-4D3A-AB9C-D08E4D58C276}C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe] => (Block) C:\users\doman\appdata\local\yandex\yandexbrowser\application\browser.exe => Нет файла
FirewallRules: [TCP Query User{FD91AD44-07C0-42E7-98BA-032240FC3C0C}C:\program files (x86)\overwatch\_retail_\overwatch.exe] => (Allow) C:\program files (x86)\overwatch\_retail_\overwatch.exe => Нет файла
FirewallRules: [UDP Query User{D62F547D-5146-4206-B114-4BEB2727E3A1}C:\program files (x86)\overwatch\_retail_\overwatch.exe] => (Allow) C:\program files (x86)\overwatch\_retail_\overwatch.exe => Нет файла
FirewallRules: [TCP Query User{15D662E6-8807-4F8C-98A4-C1729DEF85F4}C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [UDP Query User{1F809F11-4EF6-4051-837C-E80F6146C728}C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe] => (Allow) C:\users\doman\downloads\mediaget downloads\red.dead.redemption.2.ultimate.edition.rgl.rip-insaneramzes\red dead redemption 2\rdr2.exe => Нет файла
FirewallRules: [TCP Query User{09ED254B-9794-4FC0-828C-99E5E6347F92}C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe] => (Allow) C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe => Нет файла
FirewallRules: [UDP Query User{3E99205B-F548-4E86-858B-268CB95C4F33}C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe] => (Allow) C:\users\doman\appdata\local\temp\assistant_fs\assistant_spt.exe => Нет файла
FirewallRules: [{5A1BB4B2-41C0-4F07-B8D7-0DCC7BEE8C8B}] => (Allow) C:\Program Files (x86)\PaladinVPN\Paladinsvc.exe => Нет файла
FirewallRules: [{14953B03-081E-4CCA-9054-E4CF5C05AD5E}] => (Allow) C:\Program Files (x86)\PaladinVPN\PaladinVPN.exe => Нет файла
FirewallRules: [{92B41DC5-DDE0-4370-9015-B69902E2CCA1}] => (Allow) C:\Program Files (x86)\PaladinVPN\feedback.exe => Нет файла
FirewallRules: [{4ABB5A56-07A9-4472-B846-ED5327D4E644}] => (Allow) C:\Program Files (x86)\PaladinVPN\upgrade.exe => Нет файла
FirewallRules: [{38C62D36-84C0-4F4E-A988-024E49D27350}] => (Allow) C:\Program Files (x86)\PaladinVPN\tun.exe => Нет файла
FirewallRules: [{34CE78F7-CFF0-4C05-B3B3-143CF3A998C9}] => (Allow) C:\Program Files (x86)\PaladinVPN\line.exe => Нет файла
FirewallRules: [{60EB60C8-4241-4E66-8546-BB27613F98EE}] => (Allow) C:\Program Files (x86)\PaladinVPN\tunnle\tunnle.exe => Нет файла
FirewallRules: [{20C0E805-215E-4822-99A8-06A171039D78}] => (Allow) C:\Program Files (x86)\PaladinVPN\pldsvc.exe => Нет файла
FirewallRules: [TCP Query User{A01A5857-60D8-4664-B4EB-4055D77B92DB}C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [UDP Query User{A6766758-EE25-4C29-9411-01FB78764E64}C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe] => (Allow) C:\users\doman\appdata\local\discord\app-1.0.9013\discord.exe => Нет файла
FirewallRules: [TCP Query User{F98F58E9-4669-47AB-AAA2-22243E6C02C8}C:\users\doman\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\doman\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [UDP Query User{DD3EF601-CBD5-4417-8DA0-7C6C50015B2A}C:\users\doman\appdata\local\gamecenter\gamecenter.exe] => (Allow) C:\users\doman\appdata\local\gamecenter\gamecenter.exe => Нет файла
FirewallRules: [TCP Query User{6E86BB80-516E-4873-872B-2423EA6F15D1}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{3CCF4613-D4B1-4EE6-9E98-A92E05812997}C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ready or not\readyornot\binaries\win64\readyornot-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{E053D145-B9A2-47EB-B13C-E4B20643048D}C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{E1F1B700-A654-4319-830B-88D423E1C4CA}C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe] => (Allow) C:\users\doman\appdata\roaming\.tlauncher\jvms\jre1.8.0_281\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{505B2634-8C84-47A3-BA96-1B35EE14FF16}C:\games\microsoft flight simulator\flightsimulator.exe] => (Allow) C:\games\microsoft flight simulator\flightsimulator.exe => Нет файла
FirewallRules: [UDP Query User{373C1F85-DDEA-4948-83E6-59744CD2533B}C:\games\microsoft flight simulator\flightsimulator.exe] => (Allow) C:\games\microsoft flight simulator\flightsimulator.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Папку C:\FRST\Quarantine упакуйте в архив с паролем, пожалуйста. Выложите на облако и ссылку на скачивание передайте через систему личных сообщений.
Не забудьте там же сообщить пароль.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Ссылка на сообщение
Поделиться на другие сайты

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • zeuslody
      От zeuslody
      Поймал майнер прячещийся под процессом explorer.exe . При открытом диспетчере задач останавливается. Скрин AMD Adrenaline (нагрузка 75%-90% ЦП) на рабочем столе.

      Температуры ЦП 
      1) при открытом ДЗ

      2) при закрытом ДЗ

       
    • APOLLO
      От APOLLO
      По работе пришлось установить на комп Визио, но цепанул Trojan:Win64/DisguisedXMRigMiner
      На форумах посоветовали через Фабар сделать скан, но что загружать в фикс я не знаю
      FRST и Addition.rar
    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
×
×
  • Создать...