Перейти к содержанию

Поймал майнер, не получается удалить


Рекомендуемые сообщения

Опубликовано

Здравствуйте.
После  установки пакета Microsoft Office по своей же глупости со случайной ссылки, видеокарта стала сильно шуметь от чего пошли сомнения о нахождении Вирусов на ПК, опасения подтвердились множеством проверок соответствующими программами. 
До конца вычистить не выходит, вроде как антивирусы говорят что все чисто но и папки с задержкой открываются и куча папок с названиями антивирусов которые я никогда не устанавливал и удалить их не получается, отсюда прошу у вас помощи в избавлении от этого чуда.
Прикрепляю логи AVBR и AutoLogger 

CollectionLog-2024.08.11-21.29.zip AV_block_remove_2024.08.11-21.19.log

Опубликовано
33 минуты назад, Soultaken сказал:

AutoLogger

нужно их собирать из обычного режима загрузки, а не из безопасного.

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Task: {AA8779A5-69CA-47C0-A212-A38798F9F5CD} - System32\Tasks\Microsoft\Windows\FilesystemU\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\npGcIlcZT\FilesystemU.bat  (Нет файла) <==== ВНИМАНИЕ
2024-08-10 14:21 - 2024-08-10 14:21 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\ProgramData:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\All Users:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\All Users:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\Все пользователи:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\Все пользователи:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Application Data:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData\Application Data:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\Users\blowjob\AppData\Local\Temp:$DATA [16]
FirewallRules: [TCP Query User{9ED9A683-EF6D-4FE6-93F9-90FC4FFD2C18}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{F610FB95-E622-4C78-B958-266D043C7B61}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{A35ED4E9-C2E2-4A43-914F-C0CD0D03B275}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{4D849BD5-59BC-43DF-AB50-DD6C40A9AD75}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{7A62ED5B-EFC4-4CA2-B432-51E24CC8F478}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{795B163B-D8A7-447A-9F82-A27DA416BB9B}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{2B89BB23-5943-4A92-B459-5C9BAC4EE5C7}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [UDP Query User{3D4F90F3-3B24-47FE-A3C7-E704E4EE2432}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [TCP Query User{3B46D0A6-A4AE-4D75-8596-5FAE6D8EBF4F}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [UDP Query User{82569615-1D33-477F-A087-43FBDD31B872}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [TCP Query User{59BE616C-23F2-4727-8521-91206FEED996}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [UDP Query User{4C3B8D7B-F413-4D9F-96CF-251D0999E326}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [TCP Query User{59CC4238-A715-4BC8-A6FD-326E238833EC}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [UDP Query User{ED1B70D8-BF86-42D4-8529-8836EA3D1A03}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [TCP Query User{4CEF52A3-4BDC-45FC-BCFB-80B4219F9EAA}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [UDP Query User{3F095F5E-1AC9-4ED2-93A6-4934E54EE194}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Опубликовано (изменено)

Да, проблема решена. Но папки до сих пор открываются с небольшой задержкой, видимо это уже не исправить.
Спасибо!
Но папку с антивирусом которую создал вирус [Malwarebytes] не дает себя удалить ;(

Изменено пользователем Soultaken
Опубликовано

Вирусу незачем что-то устанавливать.

 

C:\Users\blowjob\Downloads\MalwarebytesAntiMalwarePrem2.2.1.1043Portable - папка с портабельной версией появилась в папке Загрузки 11 августа после 15 часов.

Возможно результатом запуска Вами или кем-то еще в попытке бороться с майнером стало обновление до Malwarebytes version 4.6.17.334.

 

Работающий антивирусный продукт и не дает удалить папку с ним вручную. Попробуйте удалить через Установку программ.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • niromerskiy
      Автор niromerskiy
      Добрый день, с недавних пор заметил что компьютер начал себя странно вести. В частности играя мой ФПС в играх не с того не с сего со 120 падал до 30 и не поднимался до перезапуска ПК. Думал на все кроме майнера, дошло время я решил посмотреть журналы Защитника Виндовс, и понял что у меня с ним что-то не то, он вроде как работает, но при этом и не работает. Начал пытаться чинить его, и вдруг резко задумался о том может ли это быть связанно с вирусами, сразу подумал на майнер. Начал писать в яндексе запрос "Как проверить ПК на наличие МАЙНЕРА", браузер закрывался почти мгновенно. Начитался на форумах и вспомнил что не так давно с момента как ПК начал себя плохо вести, я активировал Microsoft Office через КМС, в основном пользовался всегда своим проверенным, но потеряв его я решил найти в интернете, как я полагаю начало было положено именно с него. Помогите избавиться от майнера.
    • mabbloss
      Автор mabbloss
      Добрый день!
      Недавно скачивал программу boosterX(подозрения на нее), после чего ухудшение производительности ноутбука.
      Сначала все может быть нормально, но через время ФПС в играх падают все больше и больше.
      Проверил на наличие вирусов с помощью Dr.Web Curelt и нашел 2 майнера NET:MALWARE.URL. Устранить автоматически их, конечно же, не получилось. Просьба помочь в удалении, впервые так сильно боюсь за свой ноутбук.
       
      Лог прикладываю.
      Заранее спасибо!
      CollectionLog-2025.03.05-01.14.zip
    • Мелькор
      Автор Мелькор
      А вы можете и мне помочь пожалуйста? А то ноуту тяжело, а мне печально от этого((
      Desktop.rar
       
      Сообщение от модератора thyrex Перенесено из темы
    • simon-martens
      Автор simon-martens
      При установке приложения из интернета прилетел Trojan:Script/Wacatac.H!ml. Windows Defender с ним сделать ничего не может. Запускаю действие - ничего не происходит. Перепробовал уже много чего. И журнал истории удалял и само приложение, на экзешник которого дефендер ругается (USB Type Determination), нашел и удалил. Другие антивирусы и malware софт этот троян не видят. Самого файла ехе этого нет, там где он указан. Видимость скрытых файлов включена.
      Помогите пожалуйста.
      Я на этом компе работаю, весь этот софт который нужен я неделю буду переустанавливать....
    • iaoioa
      Автор iaoioa
      Всем день добрый. Не понимаю, что делать: обнаружено несколько лишних файлов после сканирования, но как их удалить неясно. Если я захожу по пути, который указал антивирус, то там этих файлов у меня нет, даже если показать скрытые элементы. Буду рад любой помощи
×
×
  • Создать...