Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Майнинг вирус

КоТ-64

Автор КоТ-64
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

КоТ-64 Новичок

КоТ-64

Опубликовано
Опубликовано

Скачал несколько приложений с разных сайтов торрентом, одним из которых поймал вирус. Windows 10, штатный антивирус ничего не видит, при открытии gpedit.msc сразу закрывает окно. В интернете нашел решение и решил попробовать использовать av blocаk remover, но при его запуске вылезает ошибка: "Операция отменена из-за ограничений, действующих на этом компьютере". Я переименовал файл AVBr и смог запустить 1 раз, после чего окно программы закрылось спустя 2-3 секунды. Компьютер от сети интернет отключен, проблему пытаюсь решить через другой ПК

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)
26 минут назад, Sandor сказал:

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

 

AV_block_remove_2024.02.22-09.47.log

CollectionLog-2024.02.27-16.52.zip

Изменено пользователем КоТ-64
Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано
16 минут назад, Sandor сказал:

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

Сейчас при повторном использовании программы Автолога, были обнаружены пользователи и удалены файлы используемые дистанционно. Возможно это даже помогло...

AV_block_remove_2024.02.17-17.31.log CollectionLog-2024.02.27-16.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, на этот раз программа отработала успешно и уже должно полегчать.

 

Продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesG\RecoveryHosts - C:\Programdata\Microsoft\uwrka\script.bat (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\RecoveryData - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

При ответе не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)


 

пофиксил с помощью HiJackThis, не знаю что должно было получиться по итогу, после надписи "completed" закрыл программу и перезагрузил ПК.

Addition.txt FRST.txt

Изменено пользователем КоТ-64
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Всё верно сделали.

 

Деинсталлируйте нежелательное ПО - Bonjour

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
FirewallRules: [{AA01CD97-13BE-48B3-857B-B73147437DB6}] => (Allow) LPort=2799
FirewallRules: [{BC70829B-0DF5-4CA5-A939-7C8063A21D77}] => (Allow) LPort=2799
FirewallRules: [{8DB45CBD-C7CB-432B-9C0A-D5E82DD9C66D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5AF4D5C1-9E64-41BD-AF55-01B3256E1A60}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{50BC6883-57AC-4901-9A39-90B04AE29C3E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{7128496C-B186-486F-9872-E1C034E71B87}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • sasaks11
      Вирус
      Автор sasaks11
      Добрый день! Аналогичная ситуация с человеком в теме... Ещё было замечено что скачиваемые файлы на следующий день также повреждаются. Могу ли я решить проблему действуя по представленным здесь шагам или требуется индивидуальное решение?
      Сканирование проводилось с помощью встроенного в майкрософт 11 антивируса. Он ничего не обнаружил ни при полной проверке, ни при быстрой, ни при автономной проверке (Microsoft Defender).

       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Aleks yakov
      Вирус шифровальщик kozanostra
      Автор Aleks yakov
      Здравствуйте  шифровальщик заразил 2 пк в локальной сети (kozanostra)
      Новая папка.zip
    • Nickopol
      Удалить вирус
      Автор Nickopol
      HEUR:Trojan.Win64.Miner.gen (так определил касперский). Как избавиться без переустановки винды? Создаёт папку в ProgramData типа paperprotector-1c42cf80-e801-4c6e-8375-3b7be1b4649c. paperprotector.exe - запускаемый файл 
×
×
  • Создать...