Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Майнинг вирус

КоТ-64

Автор КоТ-64
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

КоТ-64 Новичок

КоТ-64

Опубликовано
Опубликовано

Скачал несколько приложений с разных сайтов торрентом, одним из которых поймал вирус. Windows 10, штатный антивирус ничего не видит, при открытии gpedit.msc сразу закрывает окно. В интернете нашел решение и решил попробовать использовать av blocаk remover, но при его запуске вылезает ошибка: "Операция отменена из-за ограничений, действующих на этом компьютере". Я переименовал файл AVBr и смог запустить 1 раз, после чего окно программы закрылось спустя 2-3 секунды. Компьютер от сети интернет отключен, проблему пытаюсь решить через другой ПК

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)
26 минут назад, Sandor сказал:

Здравствуйте!

 

Измените временно системную дату (возможно придется это делать в безопасном режиме) на 5 дней назад.

Запустите AVbr. Если отработает успешно, после перезагрузки системы верните дату и прикрепите отчёт AV_block_remove_дата-время.log

 

После этого соберите CollectionLog Автологером по правилам раздела - Порядок оформления запроса о помощи

 

AV_block_remove_2024.02.22-09.47.log

CollectionLog-2024.02.27-16.52.zip

Изменено пользователем КоТ-64
Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано
16 минут назад, Sandor сказал:

Сама версия AVbr у вас устаревшая.

Проделайте то же самое ещё раз, только дату измените на 10 дней назад.

Сейчас при повторном использовании программы Автолога, были обнаружены пользователи и удалены файлы используемые дистанционно. Возможно это даже помогло...

AV_block_remove_2024.02.17-17.31.log CollectionLog-2024.02.27-16.41.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Да, на этот раз программа отработала успешно и уже должно полегчать.

 

Продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O22 - Tasks_Migrated: \Microsoft\Windows\SysFilesG\RecoveryHosts - C:\Programdata\Microsoft\uwrka\script.bat (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\CheckGlobal - C:\Windows\SysWOW64\unsecapp.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\FilesBackUP - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\RecoveryData - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\WindowsUpdate\Automatic App Update - {A6BA00FE-40E8-477C-B713-C64A14F18ADB} - (no file)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winser - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)
O22 - Tasks_Migrated: \Microsoft\Windows\Wininet\winsers - C:\ProgramData\Windows Tasks Service\winserv.exe Task Service\winserv.exe (file missing)

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

При ответе не нужно полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
КоТ-64 Новичок

КоТ-64

Опубликовано
  • Автор
Опубликовано (изменено)


 

пофиксил с помощью HiJackThis, не знаю что должно было получиться по итогу, после надписи "completed" закрыл программу и перезагрузил ПК.

Addition.txt FRST.txt

Изменено пользователем КоТ-64
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Всё верно сделали.

 

Деинсталлируйте нежелательное ПО - Bonjour

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [682]
FirewallRules: [{AA01CD97-13BE-48B3-857B-B73147437DB6}] => (Allow) LPort=2799
FirewallRules: [{BC70829B-0DF5-4CA5-A939-7C8063A21D77}] => (Allow) LPort=2799
FirewallRules: [{8DB45CBD-C7CB-432B-9C0A-D5E82DD9C66D}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{5AF4D5C1-9E64-41BD-AF55-01B3256E1A60}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{50BC6883-57AC-4901-9A39-90B04AE29C3E}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
FirewallRules: [{7128496C-B186-486F-9872-E1C034E71B87}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Алексей Брижан
      не находит майнинг вирус
      Автор Алексей Брижан
      Операционная система    Microsoft Windows 10 Home
      версия программы 21.3.10.391 (m)
      Подхватил вирус майнинг, при фоновом режиме не включая никакие программы температура процессора стала 96 градусов, до этого было 55.
      при открытие диспетчера задач температура падает до 55 градусов при его сворачивании поднимается до 96. делал полную проверку, не нашел ( неоднократно)
      видеокарта работает в штатном режиме.
      термопаста поменяна, процессор i5 12450h, видеокарта gtx 3060, система охлаждения чистая.
      касперский не находит его, когда начинается проверка температура падает до 70 градусов. но после так же поднимается
      вольтаж процессора тоже нормальный.
      могу хоть видео записать, проблема серьезная, переустанавливать винду не могу слишком много документов.
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
    • Nabludatel
      [РЕШЕНО] NET:MALWARE.URL Вирус
      Автор Nabludatel
      Здравствуйте, нашел через Dr.Web Cureit вирус который невозможно вылечить. 
      Все логи прилагаю.
      Addition.txt FRST.txt cureit.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
×
×
  • Создать...