Перейти к содержанию
Правила раздела
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

[РЕШЕНО] Поймал майнер John

Сергей Дальниченко

Автор Сергей Дальниченко
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Сергей Дальниченко Новичок

Сергей Дальниченко

Опубликовано
Опубликовано

Появился пользователь John. Появились сообщения в браузере "Out of memory", приходится все время перезагружать браузеры. В диспетчере задач большая нагрузка на видеопроцессор

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.
Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
1 час назад, Сергей Дальниченко сказал:

Или нужно именно от AVZ?

Прикреплять нужно те логи, которые у Вас попросили. Если нужны будут дополнительные, Вам обэтом обязательно напишут.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Дальниченко Новичок

Сергей Дальниченко

Опубликовано
  • Автор
Опубликовано

Здравствуйте.

AV block remover не запускается. Выдает сообщение, что команду выполнить не удается из-за ограничений, действующих на этом компьютере

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  • Выделите следующий код: 
  • Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1175947765-559377351-1945805159-1001\...\MountPoints2: {fef8f5e2-81b6-11ee-b0a7-f4b52024dc92} - "F:\SecureDrive.exe" 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {ADB9BAFE-DFF8-4562-B0AA-A13C29C1736E} - System32\Tasks\Microsoft\Windows\Wininet\winser => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
Task: {687EEF7A-FB5B-4A15-88E0-5CAB7892C6E4} - System32\Tasks\Microsoft\Windows\Wininet\winsers => "C:\ProgramData\Windows Tasks Service\winserv.exe"  -> Task Service\winserv.exe <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки пробуйте запустить AVbr в нормальном режиме.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

пробуйте запустить AVbr в нормальном режиме.

И при успешном запуске:

27.04.2024 в 18:26, thyrex сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо, продолжаем.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O1 - Hosts: ::1 localhost
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\�������������
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перезагрузите компьютер.

 

Далее, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Сергей Дальниченко Новичок

Сергей Дальниченко

Опубликовано
  • Автор
Опубликовано

Здравствуйте. Вот новые логи. Всё сделал по инструкции

report1.log report2.log CollectionLog-2024.04.30-09.50.zip FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
    • dlitsov
      [РЕШЕНО] Майнер на компьютере
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      [РЕШЕНО] Майнер на компьютере
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
×
×
  • Создать...