Перейти к содержанию
Правила раздела

Майнер

David Faker

Автор David Faker
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

David Faker

David Faker

Опубликовано
Опубликовано

Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD

 

После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.

 

Если кто встречался - поможет запуск AVbr в безопасном режиме.

 

Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
15 часов назад, David Faker сказал:

поможет запуск AVbr в безопасном режиме

Его отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Логи по правилам раздела (ссылка выше) не отменяются.

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, аккуратно упакуйте в архив с паролем этот файл 

C:\ProgramData\Microsoft\wext.vbs

Перешлите его мне личным сообщением.

David Faker

David Faker

Опубликовано
  • Автор
Опубликовано (изменено)

Напугали.. Прикрепляю файл. Сообщите, что мне с ним дальше нужно будет сделать, пожалуйста, если он представляет угрозу

wext.rar

Изменено пользователем David Faker
Sandor

Sandor

Опубликовано
Опубликовано

Похоже безвредный.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Всё же удалим и файл и его следы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Task: {AE60C3AC-6C3F-4446-85F2-FA0B45F6FB4C} - System32\Tasks\EdgeUpdate => C:\WINDOWS\system32\cmd.exe [323584 2024-06-23] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable
Task: {4D60CF40-59EF-4E23-AFC6-FC4D303A2A70} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [204800 2024-07-10] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs"
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
C:\ProgramData\Microsoft\wext.vbs
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • kbhdfdz
      помогите убрать NET:MINERS.URL
      Автор kbhdfdz
      dr.web curelt обнаружил майнер, убрать не может. помогите, я вообще не разбираюсь. логи вроде прикрепила 
      cureit.zip
    • Antoney
      Помогите, пожалуйста, подчистить за майнером John
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
×
×
  • Создать...