Словил майнер (nanominer) после того как скачал обход блокировки discord

[Gyutaro0]

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[Gyutaro0]

8 минут назад, thyrex сказал:

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

 

CollectionLog-2024.12.21-00.15.zip

[thyrex]

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Public\Pictures_Drv\AppData_Con\SgrmBroker.exe','');
 QuarantineFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','');
 QuarantineFile('C:\ProgramData\DirectX\graphics\directxutil.exe','');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('C:\ProgramData\DirectX\graphics\directxutil.exe','64');
 DeleteSchedulerTask('DirectXUtilTask');
 DeleteFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','64');
 DeleteSchedulerTask('WinAMDTweak');
 DeleteFile('C:\Users\Public\Pictures_Drv\AppData_Con\SgrmBroker.exe','64');
 DeleteSchedulerTask('TMPSYSUPD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Gyutaro0]

CollectionLog-2024.12.21-00.34.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Gyutaro0]

9 часов назад, thyrex сказал:

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Снова здраствуйте!
Вот общий архив , в процессе сканирования так же вылезала такая ошибка , но она не помешала окончить процесс сканирования 

Addition_FRST.zip

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-2649078869-1483209100-604612108-1001] => 127.0.0.1:10809
2024-12-21 01:21 - 2019-12-07 12:14 - 000000000 __SHD C:\Users\Public\Libraries
2024-12-18 20:42 - 2024-12-18 20:42 - 000000000 ____D C:\ProgramData\DirectX
2024-12-18 20:41 - 2024-12-18 20:41 - 000000000 ____D C:\Users\Public\Pictures_Drv
2024-12-18 20:39 - 2024-12-20 23:22 - 000000000 ____D C:\Users\Salavat\Desktop\обход 18.12.2024
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3434]
AlternateDataStreams: C:\ProgramData\sldh.dat:136096DD5B [3434]
AlternateDataStreams: C:\ProgramData\sldh.dat:F3D162C601 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneNote.lnk:60EC9648C0 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk:5465085A2F [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk:104946E0EA [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2022.lnk:F94DB65675 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5590]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Gyutaro0]

9 минут назад, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Держите лог-файл

Fixlog.txt

[thyrex]

Проблема решена?

[Gyutaro0]

По сути да 
1)Сам майнер удалился наконецто и больше не восстанавливает себя сам
но 
2)Он че то наделал с правами на ПК и забрал разрешения и тому подобное. Условный касперский не открывается , в брандмауэре защитника виндовс ничего нельзя отредактировать .
Но вам большое спасибо 

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.