btwnice 0 Опубликовано 20 июля Share Опубликовано 20 июля подцепил какой то майнер,грузил процессор под 80%,возможно удалился через процессы ибо его больше не видно но какие то его приметы остались: иногда просто падает отзывчивость системы и в этом роде, по этому прикрепляю лог собранный автологером,так же в браузере вместо обычной новой вкладки появляеться find-it.pro вот лог CollectionLog-2024.07.20-18.10.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 июля Share Опубликовано 20 июля Здравствуйте. Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши) begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\dhshs\AppData\Local\Programs\8c4f3b70\cdb4a520c5.msi',''); QuarantineFile('C:\Program Files (x86)\tPDpQnjMuEhGC\dsnNdWc.dll',''); QuarantineFile('C:\Program Files (x86)\iLLtGyRPU\ymggTv.dll',''); QuarantineFile('C:\Program Files (x86)\OGvqLuLxfoTU2\VyhmpgggjTHvK.dll',''); QuarantineFile('C:\ProgramData\ncptKlvwrpOWTQVB\WbDVylu.wsf^',''); QuarantineFile('c:\windows\System32\mobsync.dll',''); DeleteFile('c:\windows\System32\mobsync.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_b984ce\Parameters','ServiceDll','x64'); DeleteFile('C:\ProgramData\ncptKlvwrpOWTQVB\WbDVylu.wsf^','64'); DeleteSchedulerTask('BAuCnRsHDxHTv2'); DeleteFile('C:\Program Files (x86)\OGvqLuLxfoTU2\VyhmpgggjTHvK.dll','64'); DeleteFile('C:\Program Files (x86)\iLLtGyRPU\ymggTv.dll','64'); DeleteFile('C:\Program Files (x86)\tPDpQnjMuEhGC\dsnNdWc.dll','64'); DeleteSchedulerTask('JguAUYTGXGYaxQAXfHO2'); DeleteSchedulerTask('dGeDdXeytfTIAgt2'); DeleteSchedulerTask('CNAUFsegUUhgaN'); DeleteFile('C:\Users\dhshs\AppData\Local\Programs\8c4f3b70\cdb4a520c5.msi','64'); DeleteSchedulerTask('printfriendly-print-S-1-5-21-2602022699-3744773101-3671476662-1001'); DeleteSchedulerTask('switch-mortal'); DeleteFile('C:\ProgramData\tough-wrap\bin.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Ссылка на сообщение Поделиться на другие сайты
btwnice 0 Опубликовано 20 июля Автор Share Опубликовано 20 июля вот новый лог,так же имя карантина: 2024.07.20_quarantine_d1001c6d2a4ef822444ff683bc473e5a.7z CollectionLog-2024.07.20-22.20.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 июля Share Опубликовано 20 июля Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
btwnice 0 Опубликовано 20 июля Автор Share Опубликовано 20 июля вот логи.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 20 июля Share Опубликовано 20 июля 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {BDC197A2-733D-4E75-9D8B-850BA421D615} - System32\Tasks\qBKRmjEdrKPZdVlnV2 => C:\WINDOWS\system32\rundll32.exe [89600 2024-07-12] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\SCPAALVRHDxZjMHrgiR\STQjeTb.dll",#1 <==== ВНИМАНИЕ Edge HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms} Edge DefaultSearchKeyword: Default -> x-finder.pro Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms} C:\Users\dhshs\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc C:\Users\dhshs\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem S2 ProxyVan2; C:\Program Files (x86)\ProxyVan\Service\ProxyVan.exe [X] 2024-07-19 18:10 - 2024-07-19 18:10 - 001092121 _____ C:\WINDOWS\SysWOW64\bison832.dat 2024-07-19 18:10 - 2024-07-19 18:10 - 000000000 __SHD C:\ProgramData\SwiftRestore-408eab06-3540-459c-b930-feb2ac5f5b6e 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\WindowsTask 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\Setup 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\ReaItekHD 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\Program Files\RDP Wrapper 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 _RSHD C:\Program Files (x86)\360 2024-07-19 06:13 - 2024-07-19 06:13 - 000000000 ____D C:\Program Files (x86)\policy provide 2024-07-12 14:32 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\tPDpQnjMuEhGC 2024-07-12 14:32 - 2024-07-12 14:32 - 000003034 _____ C:\WINDOWS\system32\Tasks\qBKRmjEdrKPZdVlnV2 2024-07-12 14:32 - 2024-07-12 14:32 - 000000000 ____D C:\Program Files (x86)\TyhFIdGAorUn 2024-07-12 14:32 - 2024-07-12 14:32 - 000000000 ____D C:\Program Files (x86)\SCPAALVRHDxZjMHrgiR 2024-07-12 14:29 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\OGvqLuLxfoTU2 2024-07-12 14:29 - 2024-07-20 22:07 - 000000000 ____D C:\Program Files (x86)\iLLtGyRPU 2024-07-12 14:29 - 2024-07-12 14:32 - 000000000 ____D C:\ProgramData\ncptKlvwrpOWTQVB 2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\VPljTpDnRfVVtjHHL 2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\RjlpvTLTBpjLXrp 2024-07-08 19:30 - 2024-07-08 19:30 - 000000000 ____D C:\ProgramData\pdbtpJFtBjhNPXhTVx C:\Users\dhshs\AppData\Local\Programs\8c4f3b70 C:\ProgramData\tough-wrap iguana zip 2.10.9.921 (HKLM-x32\...\{a483b620-c2be-4cf4-9fa3-b1d3eb6da439}) (Version: 2.10.9.921 - Cattaneo-Russo e figli e figli) Hidden policy provide 1.2.2.547 (HKLM-x32\...\{f6f66909-11a6-4775-9469-5ff3207a3788}) (Version: 1.2.2.547 - Mertz-Zemlak Group) Hidden AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594] FirewallRules: [{9A3342E5-E132-4867-B9AD-34E275B7C225}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯桜倴坯攮數 => Нет файла FirewallRules: [{A700AB20-6A38-4EEA-85EC-EE88A83F3DD0}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{AAA9B6E5-502C-498E-8E5E-8E6D5BC19881}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{6825CD31-65E5-46C3-8AFE-7ED29DE2E600}] => (Allow) 㩃啜敳獲摜獨獨䅜灰慄慴剜慯業杮瑜捯扜瑯⹕硥e => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. После скрипта Цитата iguana zip 2.10.9.921 policy provide 1.2.2.547 toc VideoAdsBlocker удалите через Установку программ или принудительно с помощью Geek Uninstaller ProxyVan сами устанавливали? Если нет, тогда тоже удалите. Ссылка на сообщение Поделиться на другие сайты
btwnice 0 Опубликовано 20 июля Автор Share Опубликовано 20 июля при попытке заупуска фикса пишет: не найден fixlist.txt файл fixlist.txt должен находится в той же папке, что и сам инструмент, и программа закрывается Ссылка на сообщение Поделиться на другие сайты
btwnice 0 Опубликовано 20 июля Автор Share Опубликовано 20 июля 6 минут назад, btwnice сказал: при попытке заупуска фикса пишет: не найден fixlist.txt файл fixlist.txt должен находится в той же папке, что и сам инструмент, и программа закрывается починил,вот лог Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 21 июля Share Опубликовано 21 июля Читать нужно было внимательно. Вы пропустили первый пункт (перед скриптом), потому и возникала ошибка. Проблема решена? Ссылка на сообщение Поделиться на другие сайты
btwnice 0 Опубликовано 21 июля Автор Share Опубликовано 21 июля да,остался только find-it.pro в браузере при открытии новой вкладки,это можно как то пофиксить? все решил,спасибо вам огромное!<3 Ссылка на сообщение Поделиться на другие сайты
thyrex 1 411 Опубликовано 21 июля Share Опубликовано 21 июля Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти