Перейти к содержанию
Правила раздела

Майнинг вирус

КоТ-64

Автор КоТ-64
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

КоТ-64

КоТ-64

Опубликовано
Опубликовано

Скачал несколько приложений с разных сайтов торрентом, одним из которых поймал вирус. Windows 10, штатный антивирус ничего не видит, при открытии gpedit.msc сразу закрывает окно. В интернете нашел решение и решил попробовать использовать av blocаk remover, но при его запуске вылезает ошибка: "Операция отменена из-за ограничений, действующих на этом компьютере". Я переименовал файл AVBr и смог запустить 1 раз, после чего окно программы закрылось спустя 2-3 секунды. Компьютер от сети интернет отключен, проблему пытаюсь решить через другой ПК

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

КоТ-64

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)
26 минут назад, Sandor сказал:

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

 

AV_block_remove_2024.02.22-09.47.log

CollectionLog-2024.02.27-16.52.zip

Изменено пользователем КоТ-64
Sandor

Sandor

Опубликовано
Опубликовано

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

КоТ-64

КоТ-64

Опубликовано
  • Автор
Опубликовано
16 минут назад, Sandor сказал:

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

Сейчас при повторном использовании программы Автолога, были обнаружены пользователи и удалены файлы используемые дистанционно. Возможно это даже помогло...

AV_block_remove_2024.02.17-17.31.log CollectionLog-2024.02.27-16.41.zip

Sandor

Sandor

Опубликовано
Опубликовано

Да, на этот раз программа отработала успешно и уже должно полегчать.

 

Продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesG\RecoveryHosts - C:\Programdata\Microsoft\uwrka\script.bat (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\RecoveryData - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

При ответе не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

КоТ-64

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)


 

пофиксил с помощью HiJackThis, не знаю что должно было получиться по итогу, после надписи "completed" закрыл программу и перезагрузил ПК.

Addition.txt FRST.txt

Изменено пользователем КоТ-64
Sandor

Sandor

Опубликовано
Опубликовано

Всё верно сделали.

 

Деинсталлируйте нежелательное ПО - Bonjour

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
FirewallRules: [{AA01CD97-13BE-48B3-857B-B73147437DB6}] => (Allow) LPort=2799
FirewallRules: [{BC70829B-0DF5-4CA5-A939-7C8063A21D77}] => (Allow) LPort=2799
FirewallRules: [{8DB45CBD-C7CB-432B-9C0A-D5E82DD9C66D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5AF4D5C1-9E64-41BD-AF55-01B3256E1A60}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{50BC6883-57AC-4901-9A39-90B04AE29C3E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{7128496C-B186-486F-9872-E1C034E71B87}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алексей Брижан
      не находит майнинг вирус
      Автор Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
    • Vladisla543
      Вирус майнинг не дает нормально работать
      Автор Vladisla543
      Похоже поймал вирус майнинг, не дает нормально работать, не могу запустить ни одну программу, выскакивает что запрещено системным администратором, проверил в безопасном режиме Dr.Web Cureit, нашёл какие-то зараженные файлы но проблема не ушла. 
      CollectionLog-2024.02.01-13.43.zip
    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • farguskz
      вирус
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
×
×
  • Создать...