[РЕШЕНО] Помогите пожалуйста победить майнера!

[Евгений223]

Грузит компьютер ужасно,при попытке открыть диспетчер,он закрывается,при попытке загуглить ваш сайт закрывает браузер,при любой попытке запроса как удалить майнер закрывает браузеры.

[Евгений223]

Знаю про правила передачи логов, но вот только смог вытащить с компьютера, все остальное об блокирует, не возможна работа авто логгера, любой программы которая пытается вытащить логи

32423.xls

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Далее, создайте необходимые логи по правилам

[Евгений223]

Получилось сделать только в безопасном режиме

AV_block_remove_2024.01.19-17.31.log

[safety]

Хорошо, теперь можно продолжить в нормальном режиме.

создайте необходимые логи по правилам

[Евгений223]

Прикрепляю логи,к ранее созданной теме.

CollectionLog-2024.01.19-17.49.zip AV_block_remove_2024.01.19-17.40.log report1.log report2.log

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены.

[Евгений223]

Как теперь понять,удалился или нет майнер этот?

[safety]

5 hours ago, Евгений223 said:

Как теперь понять,удалился или нет майнер этот?

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Евгений223]

EVGENY-PC_2024-01-21_21-27-05_v4.15.1.7zAddition.txtFRST.txt

[safety]

Вирусной активности нет. Чистим хвосты вирусной активности.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\MSIX.DLL
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE

sreg

;---------command-block---------
; удаляем записи исключений вредоносных файлов в WinDef

delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\DCONTROL.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА\GSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %Sys32%\SECOPATCHER.DLL
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delref %SystemDrive%\PROGRAMDATA

areg

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

[safety]

Далее, после перезагрузки системы.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
CloseProcesses:
SystemRestore: On
HKU\S-1-5-21-2955388553-1678881882-486425286-1001\...\Run: [utweb] => "C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{147AFDBA-B357-4D2B-BB26-AB80225FDC5F}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{2BD64C17-24CD-4E08-92F1-29D7891EA0C0}] => (Allow) C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла
FirewallRules: [{F21F7E1F-10F0-4A6E-8678-371F76DAB713}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{08EC4BCC-D8F2-49D0-9BFF-2C6ECDEE719B}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{3CF3AA79-633E-4373-896D-565BBB658DA5}] => (Block) LPort=445
FirewallRules: [{EA6B2095-9351-4F68-A50D-481E1394E1D2}] => (Block) LPort=445
FirewallRules: [{82A02F40-D8F5-42A1-A86C-85533FEE874E}] => (Block) LPort=139
FirewallRules: [{EDB9207F-1032-4A26-B286-E391D64667E5}] => (Block) LPort=139
FirewallRules: [{9A8E3F4A-A714-4F5B-8636-DD35359E3D19}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{54028050-4D1D-457F-9527-EAD7EEDCF07A}] => (Allow) LPort=3389
Reboot:
End::

после перезагрузки:

 

В завершении:

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении

[Евгений223]

Добрый вечер!
Приклепляю логи

2024-01-22_20-52-37_log.txtSecurityCheck.txtFixlog.txt

[safety]

1. очистка исключений для вредоносных программ, добавленных в WinDef прошла успешно

Quote

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 12 из 12
Удалено файлов: 0 из 0

 

По возможности, выполните обновление ПО:

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.4.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12527.22253 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.00 (64-разрядная) v.6.00.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9003 Внимание! Скачать обновления

µTorrent v.3.6.0.46984 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
------------------------------- [ Browser ] -------------------------------
Yandex v.23.11.3.965 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

CCleaner v.6.19 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".