Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал майнер, после удаления файл создается снова

Grotri

Автор Grotri
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Grotri

Grotri

Опубликовано
Опубликовано

Поймал на свой компьютер вирус майнер который сидит вот тут C:/Program Files/Google/Chrome/updater.exe, после удаления файла запускается cmd.exe и создает файл заново (обнаружил с помощью Process Explorer)
Помогите избавиться от него пожалуйста, прогонял скан системы через Farbar Recovery Scan Tool и, кажется, там есть за что зацепиться, но fixlist своими руками делать страшновато из-за незнания как делать корректно. Прикрепил логи оттуда сюда 

Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

safety

safety

Опубликовано
Опубликовано

Выполните очистку в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перезагрузит ее. 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://F.A.K/E
delall %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply

restart

после перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ автозапуска для контроля.

safety

safety

Опубликовано
Опубликовано

Да, судя по логу выполнения скрипта очистка прошла успешно, шторм утих. В новом образе майнера уже нет.

 

Для профилактики:

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

safety

safety

Опубликовано
Опубликовано

+

при выполнении скрипта было такое сообщение:

(!) Обнаружен DnsPolicy, рекомендуется проверить ключ реестра: HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig
Выполнено за 442,286 сек.

сделайте, пожалуйста, экспорт данного ключа из реестра, можно через regedit

Цитата

HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\DnsPolicyConfig

 

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Sos3993
      [РЕШЕНО] Поймал майнер
      Автор Sos3993
      Зловредное по проявляет активность когда подключается интернет, используется как процессор так и видеокарта на все сто.Но иногда может что-то одно. После же выключения интернета, радиаторы железа сразу остывают, что собственно говорит о прекращении частичной работы по. Но ресурсы как видеопамять так и озу всё равно продолжают потреблятся.
      CollectionLog-2023.12.08-23.15.zip
    • Сергей Дальниченко
      [РЕШЕНО] Поймал майнер John
      Автор Сергей Дальниченко
      Появился пользователь John. Появились сообщения в браузере "Out of memory", приходится все время перезагружать браузеры. В диспетчере задач большая нагрузка на видеопроцессор
    • Денис К
      [РЕШЕНО] Поймал майнер Tool.BtcMine.2794
      Автор Денис К
      Здравствуйте, словил вирус, майнер Tool.BtcMine.2794. Пытался почистить с помощь Cure It, удаляется ровно до следующей перезагрузки ПК. 
      Логи прикладываю
      CollectionLog-2025.05.18-21.17.zip
    • Мелькор
      Поймал майнера
      Автор Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
    • kolaligo
      [РЕШЕНО] Поймал Майнер john после установки активатора
      Автор kolaligo
      Здравствуйте, поймал Майнер john после установки активатора, попробовал удалить сам через adv blocker, но нагрузка не пропала на компьютер
×
×
  • Создать...