Очередной майник

[BurundukTat]

Добрый день. Опять словил майнера, на этот раз не дает ничего сделать (открыть ваш сайт, выключает браузер если искать «как удалить майнера»).

помогите, пожалуйста💙 

CollectionLog-2024.01.13-09.32.zip

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[BurundukTat]

С браузера все равно не могу зайти на ваш сайт(

 

логи Сделал 👍🏻

AV_block_remove_2024.01.13-11.20.log

CollectionLog-2024.01.13-11.26.zip

Изменено 13 января пользователем BurundukTat

[safety]

Хорошо,

 

подготовьте, пожалуйста, следующие логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[BurundukTat]

FRST.txt Addition.txt DESKTOP-TAL8J5R_2024-01-13_11-47-29_v4.15.1.7z

[thyrex]

35 минут назад, BurundukTat сказал:

С браузера все равно не могу зайти на ваш сайт(

потому что AVBR не отработал до конца (или Вы не дождались окончания его работы).

 

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
ExecuteRepair(13);
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

После этоо собираете новые логи Farbar и uVS.

[BurundukTat]

AVBR отключился сам при первом запуске, я подумал что это норма, сейчас отработал до конца и теперь ваш сайт включается, ура! спасибочки!)

 

 

выполнил отдельно скрипт и включился синий экран смерти(

 

Addition.txtFRST.txtDESKTOP-TAL8J5R_2024-01-13_12-19-28_v4.15.1.7z

[safety]

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE

REGT 14
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delall %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {5E2121EE-0300-11D4-8D3B-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref D:\TEST\AIDA64 EXTREME\KERNELD.X64
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\U0389188.INF_AMD64_CD9701BCD4981EB7\B389045\AMDKMDAG.SYS
delref %Sys32%\DRIVERS\BJJICTRZ.SYS
delref %Sys32%\DRIVERS\ERJLFJHD.SYS
delref %Sys32%\DRIVERS\GCLWBHUM.SYS
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS

Изменено 13 января пользователем safety

[BurundukTat]

Сделал🙂

 

2024-01-13_12-46-50_log.txt

[safety]

удаляем исключения из дефендера на вредоносные программы.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
sreg
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
apply

areg

restart

После перезагрузки системы добавьте новый файл Дата_времяlog.txt из папки uVS

[BurundukTat]

Готово 🙃2024-01-13_13-27-16_log.txt

 

[safety]

Все отлично прошло.

Quote

--------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
--------------------------------------------------------
--------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
--------------------------------------------------------
--------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
--------------------------------------------------------
--------------------------------------------------------
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
--------------------------------------------------------
--------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
--------------------------------------------------------
--------------------------------------------------------
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
--------------------------------------------------------
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление ссылок...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 6 из 6
Удалено файлов: 0 из 0

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

 

[BurundukTat]

спасибочки огромное!

сделал)

 

SecurityCheck.txt

[safety]

По возможности, установите рекомендуемые обновления:

 

TeamViewer v.15.46.7 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления

Discord v.1.0.9016 Внимание! Скачать обновления

 

µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.

CCleaner v.6.19 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

[BurundukTat]

Спасибо большое! 🤩

Возможно не по теме, но из-за чего может быть такое?

это при выключении компа , в итоге он просто перезапускается