Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, Sandor сказал:

Здравствуйте!

 

Дальше прочтите Порядок оформления запроса о помощи и прикрепите архив CollectionLog.

все сделал, архив прикрепил

CollectionLog-2024.04.15-21.45.zip

 

еще заметил что удалилось ПО амд, как я понял туда он тоже вшивался, но при это видеодрайвер сохранился, мне переустановить полностью нужно будет драйвер?

Ссылка на сообщение
Поделиться на другие сайты

Пока ничего ни устанавливайте, ни удаляйте без специального на то указания.

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O10 - Unknown file in Winsock LSP: C:\Program Files (x86)\Bonjour\mdnsNSP.dll (sign: 'Apple Inc.')
O15 - HKCU\..\ProtocolDefaults:  - [@ivt] protocol is in Unknown Zone, should be Intranet Zone
O15 - HKCU\..\ProtocolDefaults:  - [file] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [ftp] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [http] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [https] protocol is in Unknown Zone, should be Internet Zone
O15 - HKCU\..\ProtocolDefaults:  - [knownfolder] protocol is in Unknown Zone, should be My Computer Zone
O15 - HKCU\..\ProtocolDefaults:  - [shell] protocol is in Unknown Zone, should be My Computer Zone
O22 - Tasks: (disabled) Temp - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe get-childitem -path $env:temp -force -recurse | remove-item -force -recurse (sign: 'Microsoft')
O26 - Debugger: HKLM\..\calc.exe: [Debugger] = C:\Windows\system32\win32calc.exe (not signed - Microsoft Corporation - B832B7A1E333EB4FD88B11422E363F51805F480D)
O26 - Debugger: HKLM\..\'CompatTelRunner.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')
O26 - Debugger: HKLM\..\'DeviceCensus.exe': [Debugger] = C:\Windows\System32\taskkill.exe (sign: 'Microsoft')

Перезагрузите компьютер.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR HomePage: Default -> hxxps://mail.ru/cnt/10445?gp=812205
    CHR StartupUrls: Default -> "hxxp://rusearch.co"
    Unlock: C:\ProgramData\tl
    Folder: C:\ProgramData\tl
    AlternateDataStreams: C:\Users\Артём zimex\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Артём zimex\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [{A764206D-95AA-4B62-81DB-17F2B225FE41}] => (Allow) LPort=80
    FirewallRules: [{9EB658AA-1123-4B57-9518-23C23A0E9908}] => (Allow) LPort=443
    FirewallRules: [{A87BF2C2-0FAD-4D93-B379-70AFAF662FD8}] => (Allow) LPort=20010
    FirewallRules: [{88B0BA85-5189-4982-8690-40BF70EC812A}] => (Allow) LPort=3478
    FirewallRules: [{E7A2DC56-303B-4D23-B1BB-CEEE69F280BB}] => (Allow) LPort=7850
    FirewallRules: [{54DD58FA-7528-4169-B723-D06406C6A40B}] => (Allow) LPort=7852
    FirewallRules: [{A07C543A-8271-4C35-9152-2E23EA0BEF09}] => (Allow) LPort=7853
    FirewallRules: [{BFD1246D-5BC5-473A-9936-971D5B446774}] => (Allow) LPort=27022
    FirewallRules: [{FA23D291-6DC1-4DE1-81FA-700A529B8109}] => (Allow) LPort=6881
    FirewallRules: [{C3CAA7B7-EEC0-4FE4-A1AB-0A5721D385E6}] => (Allow) LPort=33333
    FirewallRules: [{A3863EA6-EE3B-4FAB-9220-E03929CA5AA1}] => (Allow) LPort=20443
    FirewallRules: [{0E9BF61C-6AAE-4765-A9F5-6A8E58E76F90}] => (Allow) LPort=8090
    FirewallRules: [{0CE4813E-BBB2-4D3F-A987-78A2A7A04461}] => (Allow) LPort=32683
    FirewallRules: [{4BFA98E3-3A56-4143-83BA-56DD39B4A58F}] => (Allow) LPort=26822
    StartRegedit:
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc]
    "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
    "Description"="@WaaSMedicSvcImpl.dll,-101"
    "DisplayName"="@WaaSMedicSvcImpl.dll,-100"
    "ErrorControl"=dword:00000001
    "FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
      00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
    "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
      74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
      00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
      6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
    "LaunchProtected"=dword:00000002
    "ObjectName"="LocalSystem"
    "RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
      00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
      67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
      00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
      73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
      00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
      65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
      00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
      79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
      00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
      65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,65,\
      00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,\
      4d,00,61,00,6e,00,61,00,67,00,65,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,\
      00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
    "ServiceSidType"=dword:00000001
    "Start"=dword:00000003
    "Type"=dword:00000020
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Parameters]
    "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
      00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
      57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
      00,64,00,6c,00,6c,00,00,00
    "ServiceDllUnloadOnStop"=dword:00000001
    "ServiceMain"="ServiceMain"
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Security]
    "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
      05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
      01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
    EndRegedit:
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Выполнение скрипта может занять некоторое время (до получаса), дождитесь окончания. Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне устройств видны несколько, для которых не установлены драйверы. Скачайте необходимое с сайта производителя и установите недостающее.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Сделайте такой отчёт:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Ссылка на сообщение
Поделиться на другие сайты

Уточните, пожалуйста, система оригинальная, не сборка?

Каких-либо настроек, отключающих обновление или систему защиты не использовали?

Ссылка на сообщение
Поделиться на другие сайты

Понятно. Значит на этом будем завершать:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен контроль учетных записей (UAC)?

 

AMD Software v.24.2.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
7-Zip 22.01 v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Discord v.1.0.9032 Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
Google Chrome v.123.0.6312.123 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • sova.prod123
      От sova.prod123
      Всем здравствуйте. Поймал майнер при закачке программы Soundpad, неполадки обнаружил только спустя пару часов, сильная нагрузка на пк без причины. Попытки что-то вылечить самостоятельно не увенчались успехом: RougeKiller установить не удаётся, вирус не дает этого сделать, сворачивает командную строку при попытке подлезть в систему, диспетчер задач. В безопасном режиме вирус господствует точно так же, сворачивает абсолютно все окна при одном только упоминании, нет доступа к некоторым фаилам в системе,а так если повезёт - продержится диспетчер задач, но в нем нельзя будет остановить чужеродные процессы, так как просто нет прав. Попытался при помощи образа с флэшки что-то найти Dr.Web'om, найти то он нашел, вот толку особо не было, пробовал ещё кое-как использовать emsisoft anti-malware, он тоже что-то нашел, но проблема не решилась, касперским тоже пробовал искать, он так же нашел что-то, вроде как удалил, но эффекта нет
      . Прикрепляю логи ниже, надеюсь на вашу поддержку
      CollectionLog-2024.05.26-00.13.zip
    • QWERADF
      От QWERADF
      на компьютере завелся майнер, пробывал удалять с помощью курейта и касперским, воспользовался AVbr.
      Ниже логи после использования AVbr, так же 
       

       
       
       
    • sem1131313
      От sem1131313
      Поймал майнер, грузит комп. Не дает войти в program data/msconfig
    • Salieri
      От Salieri
      Здраствуйте, заметил что система начала тормозить и стали появляться глюки после открытия странного ехе, прошу помощи.CollectionLog-2024.05.21-00.03.zip
    • Sashok103
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
×
×
  • Создать...