Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

Майнер

David Faker

Автор David Faker
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

David Faker

David Faker

Опубликовано
Опубликовано

Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD

 

После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.

 

Если кто встречался - поможет запуск AVbr в безопасном режиме.

 

Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое

FRST.txt Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано
15 часов назад, David Faker сказал:

поможет запуск AVbr в безопасном режиме

Его отчёт AV_block_remove_дата-время.log тоже прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Логи по правилам раздела (ссылка выше) не отменяются.

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, аккуратно упакуйте в архив с паролем этот файл 

C:\ProgramData\Microsoft\wext.vbs

Перешлите его мне личным сообщением.

David Faker

David Faker

Опубликовано
  • Автор
Опубликовано (изменено)

Напугали.. Прикрепляю файл. Сообщите, что мне с ним дальше нужно будет сделать, пожалуйста, если он представляет угрозу

wext.rar

Изменено пользователем David Faker
Sandor

Sandor

Опубликовано
Опубликовано

Похоже безвредный.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Всё же удалим и файл и его следы.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Task: {AE60C3AC-6C3F-4446-85F2-FA0B45F6FB4C} - System32\Tasks\EdgeUpdate => C:\WINDOWS\system32\cmd.exe [323584 2024-06-23] (Microsoft Windows -> Microsoft Corporation) -> /c auditpol /set /category:"Система" /success:enable && auditpol /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable
Task: {4D60CF40-59EF-4E23-AFC6-FC4D303A2A70} - System32\Tasks\EdgeUpdateTaskUser => C:\Windows\System32\wscript.exe [204800 2024-07-10] (Microsoft Windows -> Microsoft Corporation) -> /b "C:\ProgramData\Microsoft\wext.vbs"
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
C:\ProgramData\Microsoft\wext.vbs
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Serebro
      RMS спрятанный в файле Bin
      Автор Serebro
      Всем привет
      Словил вирус RMS при попытке установить паленую игру по ссылке 
      Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное. 
      Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes. 
      Поставил Kaspersky Plus 21.25 последний обновленный. 
      Нашел лог работы RMS, в нем все записи имеют вид: 
      Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).
      Журналы системы удалились за эти дни, не успел их посмотреть.
      Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.


       
      В принципе понятно что это и как работает, и что сам виноват, но хочется
      1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
      2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
      Система Windows 10 22H2
      Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip
      avz_sysinfo.zip cureit.rar
    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
    • LØNEX
      [РЕШЕНО] Попался на мошенников в КС2
      Автор LØNEX
      Здравствуйте. Пару дней назад меня рандомы пригласили в дискорд, начали звать играть на Faceit. Сказали верифицировать аккаунт фейсит через бота в дискорде, бот дал ссылку, в которой был текст для строки Win+R, утверждая, что это античит фейсита. После ввода команды на секунду открылась PowerShell. Сегодня я созвонился с человеком, который сказал, что меня опрокинули и на моем компьютере сейчас ratник и все скины скорее всего в ближайшее время украдут. Я уже временно заблокировал аккаунт Steam, пока не разберусь с проблемой. Прошу помочь.
      Вот команда, которая была прописана в Win+R: [скрипт удалён]
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
×
×
  • Создать...