Перейти к содержанию

Поймал майнер, не получается удалить


Рекомендуемые сообщения

Здравствуйте.
После  установки пакета Microsoft Office по своей же глупости со случайной ссылки, видеокарта стала сильно шуметь от чего пошли сомнения о нахождении Вирусов на ПК, опасения подтвердились множеством проверок соответствующими программами. 
До конца вычистить не выходит, вроде как антивирусы говорят что все чисто но и папки с задержкой открываются и куча папок с названиями антивирусов которые я никогда не устанавливал и удалить их не получается, отсюда прошу у вас помощи в избавлении от этого чуда.
Прикрепляю логи AVBR и AutoLogger 

CollectionLog-2024.08.11-21.29.zip AV_block_remove_2024.08.11-21.19.log

Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, Soultaken сказал:

AutoLogger

нужно их собирать из обычного режима загрузки, а не из безопасного.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
Task: {AA8779A5-69CA-47C0-A212-A38798F9F5CD} - System32\Tasks\Microsoft\Windows\FilesystemU\RecoveryHosts => C:\ProgramData\Microsoft\NetFramework\npGcIlcZT\FilesystemU.bat  (Нет файла) <==== ВНИМАНИЕ
2024-08-10 14:21 - 2024-08-10 14:21 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
AlternateDataStreams: C:\ProgramData:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\All Users:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\All Users:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\Users\Все пользователи:65520044A6EB75C9 [217]
AlternateDataStreams: C:\Users\Все пользователи:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Application Data:65520044A6EB75C9 [217]
AlternateDataStreams: C:\ProgramData\Application Data:EEF49EE5D3688B03 [217]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bfjhjkiihj [0]
AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`vovtfe.qpsu.obnfjhjkiihj [0]
AlternateDataStreams: C:\Users\blowjob\AppData\Local\Temp:$DATA [16]
FirewallRules: [TCP Query User{9ED9A683-EF6D-4FE6-93F9-90FC4FFD2C18}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [UDP Query User{F610FB95-E622-4C78-B958-266D043C7B61}C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\destiny 2\destiny2.exe => Нет файла
FirewallRules: [TCP Query User{A35ED4E9-C2E2-4A43-914F-C0CD0D03B275}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{4D849BD5-59BC-43DF-AB50-DD6C40A9AD75}D:\fallout 76\project76_gamepass.exe] => (Allow) D:\fallout 76\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{7A62ED5B-EFC4-4CA2-B432-51E24CC8F478}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [UDP Query User{795B163B-D8A7-447A-9F82-A27DA416BB9B}C:\xboxgames\fallout 76\content\project76_gamepass.exe] => (Allow) C:\xboxgames\fallout 76\content\project76_gamepass.exe => Нет файла
FirewallRules: [TCP Query User{2B89BB23-5943-4A92-B459-5C9BAC4EE5C7}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [UDP Query User{3D4F90F3-3B24-47FE-A3C7-E704E4EE2432}C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\vrchat\vrchat.exe => Нет файла
FirewallRules: [TCP Query User{3B46D0A6-A4AE-4D75-8596-5FAE6D8EBF4F}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [UDP Query User{82569615-1D33-477F-A087-43FBDD31B872}C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9149\discord.exe => Нет файла
FirewallRules: [TCP Query User{59BE616C-23F2-4727-8521-91206FEED996}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [UDP Query User{4C3B8D7B-F413-4D9F-96CF-251D0999E326}C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9153\discord.exe => Нет файла
FirewallRules: [TCP Query User{59CC4238-A715-4BC8-A6FD-326E238833EC}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [UDP Query User{ED1B70D8-BF86-42D4-8529-8836EA3D1A03}C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9154\discord.exe => Нет файла
FirewallRules: [TCP Query User{4CEF52A3-4BDC-45FC-BCFB-80B4219F9EAA}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
FirewallRules: [UDP Query User{3F095F5E-1AC9-4ED2-93A6-4934E54EE194}C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe] => (Allow) C:\users\blowjob\appdata\local\discord\app-1.0.9155\discord.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Да, проблема решена. Но папки до сих пор открываются с небольшой задержкой, видимо это уже не исправить.
Спасибо!
Но папку с антивирусом которую создал вирус [Malwarebytes] не дает себя удалить ;(

Изменено пользователем Soultaken
Ссылка на сообщение
Поделиться на другие сайты

Вирусу незачем что-то устанавливать.

 

C:\Users\blowjob\Downloads\MalwarebytesAntiMalwarePrem2.2.1.1043Portable - папка с портабельной версией появилась в папке Загрузки 11 августа после 15 часов.

Возможно результатом запуска Вами или кем-то еще в попытке бороться с майнером стало обновление до Malwarebytes version 4.6.17.334.

 

Работающий антивирусный продукт и не дает удалить папку с ним вручную. Попробуйте удалить через Установку программ.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ANHIEL
      От ANHIEL
      словил майнер сам восстанавливается после перезагрузки 
       
    • 18757
      От 18757
      столкнулся с такой проблемой поймал майнер на пк были только игры и нечего важного поэтому сбросил до заводских настроек открываю диспечер задач и вижу нагрузку 60-80 процентов а через несколько секунд она падает до 5 если открыть диспечер задач и дерзать кнопки ctrl shift и esc то можно увидеть процессы например launch tm перешел во вкладку службы а там половина процессов остановленно и с ними нечего нельзя сделать скачал doktor web curelt ничего не нашел не знаю что делать заранее спасибо
    • Павел1247
      От Павел1247
      Сам восстанавливается майнер, нашел на форуме как его удалить с помощью FRST, но как я понимаю fixlist для каждого индивидуален, и мне нужна помощь с этим.
      Заранее спасибо.
      Addition.txt FRST.txt
    • Golem555
      От Golem555
      Здравствуйте!
      На моем компьютере обнаружено подозрительное ПО, предположительно майнер. Наблюдаю следующие симптомы на скриншоте это в спокойном режиме:

      Попробовал проверку Антивируса Malwarebytes, HitmanPro, не помогает. Пробовал переустанавливать винду, не помогает  
      Уже и не знаю что делать, ещё добавление: вирус маскируется под активные программы 
       
    • Maksim28
      От Maksim28
      Здравствуйте, столкнулся с проблемой в виде майнера на своем компьютере. Скачивал игру с интернета, но видимо поймал вирус. В диспетчере задач процесс uTorrent.pro бывает грузит процессор на 100 процентов. Пробовал использовать антивирусы, но не помогает. После перезагрузки компьютера, он снова появляется.
      CollectionLog-2024.09.02-19.05.zip
×
×
  • Создать...