[РЕШЕНО] поймал майнер, не дает запускать антивирусы. пишет либо ошибку доступа к папке в temp либо что не хватает прав(у меня права администратора)

[Tristan]

прогоны через кврт и курейт не дали результатов

так же вирус закрывает диспетчер задач и до опредленного прогона мешал переходу на сайты антивирусов и поиску таких сайтов

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Tristan]

thx, CollectionLog-2024.01.27-14.09.zip

 

при запуске кврт 

Изменено 27 января, 2024 пользователем Tristan

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Tristan]

согласился на удаление пользователя john, на этапе скриншота тоже нажал "да", где взять логи без понятия 

[safety]

Да, большую часть угроз и последствий должен автоматически зачистить AVBR (следуйте его указаниям), то что останется зачистим в FRST и uVS.

Изменено 27 января, 2024 пользователем safety

[Tristan]

 как долго может длится сканирование других областей? (зеленая линия замерла)

Изменено 27 января, 2024 пользователем Tristan

[safety]

Общее время: порядка 5-10 минут, может меньше

Изменено 27 января, 2024 пользователем safety

[Tristan]

у меня явно дольше, могу перезагрузиться и запустить снова?

 

[safety]

25 minutes ago, Tristan said:

у меня явно дольше, могу перезагрузиться и запустить снова?

можно процесс закрыть, (если закроется) и собрать пока образ автозапуска.

[Tristan]

выполнилось

FRST.txt Addition.txt

[safety]

1 hour ago, safety said:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Этого файла не нашлось?

[Tristan]

где по умолчанию искать этот файл?

 

HOME-PC_2024-01-27_16-04-06_v4.15.1.7z

вот содержание папки frst

[safety]

10 minutes ago, Tristan said:

где по умолчанию искать этот файл?

скорее всего в папке, откуда запускали ABVR

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:
 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref H:\AUTORUN.EXE
delref E:\AUTORUN.EXE
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.5.2.612\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\OFFICEC2RCLIENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref %Sys32%\LSCLIENTSERVICE.DLL
delref %Sys32%\RDVGM.EXE
delref %Sys32%\VMSYNTH3DVIDEO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAMDATA\DEF
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\CLICKTORUN\OFFICECLICKTORUN.EXE
delref %SystemDrive%\FIREFOX\X-FIREFOX.EXE
delref E:\GAMES\SNIPER ELITE 4\STP-SE4DX11.EXE
delref E:\GAMES\ZOMBIE ARMY 4\BIN\LAUNCH_ZA4.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Изменено 27 января, 2024 пользователем safety

[Tristan]

2024-01-27_16-41-19_log.txt

AV_block_remove_2024.01.27-14.40.log

 

из моей собственной диагностики могу сказать что после перезагрузки касперский запустился, курейт запустился, сайт касперского посетился, диспетчер задач сам не закрывается