Перейти к содержанию
Правила раздела

Trojan:Win64/DisguisedXMRigMiner

rda

Автор rda
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

rda

rda

Опубликовано
Опубликовано (изменено)

не получается удалить майнер, пытался через FRST, не понял суть)

Trojan:Win64/DisguisedXMRigMiner

Добавил файлы с сканирования FRST

Addition.txt FRST.txt

Изменено пользователем rda
safety

safety

Опубликовано
Опубликовано

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

rda

rda

Опубликовано
  • Автор
Опубликовано
12 часов назад, safety сказал:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее. 


Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\Run: [Admin] => cmd.exe /c start www.dinoraptzor.org (Нет файла)
Task: {5BD8FDE7-ECD0-4BDF-81CA-51E000A4AA3B} - System32\Tasks\Admin => C:\Windows\system32\cmd.exe [289792 2023-11-16] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Admin /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-1403494784-3976649834-3870504741-1001\...\webcompanion.com -> hxxp://webcompanion.com
<==== ВНИМАНИЕ
EmptyTemp:
Reboot:
End::

После перезагрузки добавьте пожалуйста, файл Fixlog.txt из папки, откуда запускали FRST. Напишите об оставшихся проблемах.

+

сделайте логи по правилам.

 

Fixlog.txt

safety

safety

Опубликовано
Опубликовано

проверьте даты обнаруженных угроз в дефендере: актуальны или более ранние чем текущая.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

rda

rda

Опубликовано
  • Автор
Опубликовано

Суть в чем в антивируснике пишет что есть вирус, но его удалть не может так же дата не меняется вот как нашел он его 02.01 так и висит эта дата, просто пишет что угроза активна

DESKTOP-E5M2NL5_2024-01-13_11-23-50_v4.15.1.7z

safety

safety

Опубликовано
Опубликовано

Это может быть особенностью работы WinDefender, что он показывает все угрозы, обнаруженные за некоторый период.

можно уменьшить этот период.

 

Образ автозапуска проверю, отвечу в следующем сообщении.

 

Попробуйте это решение применить для очистки журналов.

 

Вот что можно сделать:
 

Quote

1. Уменьшить время хранения журнала угроз безопасности Windows.
В PowerShell от имени администратора выполнить:
Set-MpPreference -ScanPurgeItemsAfterDelay X
Где X количество дней хранения журнала.

2. Принудительно очистить журнал:
- отключаем Защиту в реальном времени (Real-Time protection)
- отключаем Облачную защиту (Cloud protection)
- удаляем папку Service
C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service
- включаем Защиту в реальном времени (Real-Time protection)
- включаем Облачную защиту (Cloud protection)

safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже
  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\LMS.INF_AMD64_FDDB643595E0B8D0\LMS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\RUXIM\PLUGSCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.63\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref {2F603045-309F-11CF-9774-0020AFD0CFF6}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\ELECTRONIC ARTS\EA DESKTOP\EA DESKTOP\EABACKGROUNDSERVICE.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату.

safety

safety

Опубликовано
Опубликовано

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

rda

rda

Опубликовано
  • Автор
Опубликовано
1 минуту назад, safety сказал:

Защиту в дефендере отключали? Видимо программы типа totalcomander, или far надо запускать от имени Администратора, чтобы были права на удаление данной папки.

Защита отключена, доступ не дает

image.thumb.png.923865605fe561a7cd06e974f35f0bc7.pngimage.thumb.png.dd316105b4c9c417272287b5921409a3.png

В Powershell тоже выдает ошибку

 

image.thumb.png.fe96340e829480ce9b92f87d1dd71229.png

safety

safety

Опубликовано
Опубликовано

Хорошо, пробуйте по первому пункту поставить вместо X единицу. И завтра можно будет проверить (когда пройдет 1 день) появятся в журнале записи с обнаружением или нет.

7 minutes ago, rda said:

В Powershell тоже выдает ошибку

эту команду выполняли? 

Set-MpPreference -ScanPurgeItemsAfterDelay 1

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Владхелп
      Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Филимон
      Есть подозрение на майнер. Касперский ничего не находит.
      Автор Филимон
      Есть подозрение на майнер. Ноут достаточно теплый, шумит вентиляторами, быстро разряжает батарею. При открытии диспетчера задач вот такая картина, нагрузка с гпу резко падает, вентиляторы затихают. Стоит касперский плюс, ничего при проверках не находит. Сканирование при загрузки с флешки при помощи ремовал_тулз тоже ничего не показало.
       
       
       

    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

×
×
  • Создать...