Перейти к содержанию

Скачал "Nanominer"-майнер + ещё "ddxdiag"-троян хочу удалить, но они восстанавливаются ОЧЕНЬ НУЖНА ПОМОШЬ


Naicer

Рекомендуемые сообщения

недавно скачал обход дс и ютуба от peekbot и после у меня закачался этот майнер и +троян удалив он восстанавливается пробовал смотреть в автозагрузках его там нет, но у меня не открывается "планировщик задач" полагая из-за трояна очень нужна помощь spacer.pngspacer.png  

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.


Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

Ссылка на комментарий
Поделиться на другие сайты

20 минут назад, Naicer сказал:

 

 

 

 

21 минуту назад, Naicer сказал:

недавно скачал обход дс и ютуба от peekbot и после у меня закачался этот майнер и +троян удалив он восстанавливается пробовал смотреть в автозагрузках его там нет, но у меня не открывается "планировщик задач" полагая из-за трояна очень нужна помощь   

 

316776781_b713691f64b448d5ced6814341f6043b_240x240.png

316776781_ac8f89b6b31a55e5a5208118c4dfb53d_240x240.png

Изменено пользователем Naicer
Ссылка на комментарий
Поделиться на другие сайты

В сообщении №2 написано, что нужно сделать.

 

Строгое предупреждение от модератора thyrex

Не удивляйтесь, если из-за следующего сообщения без логов тема будет закрыта.

Ссылка на комментарий
Поделиться на другие сайты

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','');
 TerminateProcessByName('c:\users\ам\appdata\roaming\toc\uj9o6.exe');
 QuarantineFile('c:\users\ам\appdata\roaming\toc\uj9o6.exe','');
 TerminateProcessByName('c:\users\ам\appdata\roaming\toc\nrjq.exe');
 QuarantineFile('c:\users\ам\appdata\roaming\toc\nrjq.exe','');
 DeleteFile('c:\users\ам\appdata\roaming\toc\nrjq.exe','32');
 DeleteFile('c:\users\ам\appdata\roaming\toc\uj9o6.exe','32');
 DeleteSchedulerTask('DirectXUtilTask');
 DeleteFile('C:\ProgramData\DirectX\graphics\directxutil.exe','64');
 DeleteSchedulerTask('uTorrentProUpdaterV5');
 DeleteSchedulerTask('TMPSYSUPD');
 DeleteFile('C:\Users\Public\Pictures_5\Documents_3\SgrmBroker.exe','64');
 DeleteFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','64');
 DeleteSchedulerTask('WinAMDTweak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

17 минут назад, thyrex сказал:

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','');
 TerminateProcessByName('c:\users\ам\appdata\roaming\toc\uj9o6.exe');
 QuarantineFile('c:\users\ам\appdata\roaming\toc\uj9o6.exe','');
 TerminateProcessByName('c:\users\ам\appdata\roaming\toc\nrjq.exe');
 QuarantineFile('c:\users\ам\appdata\roaming\toc\nrjq.exe','');
 DeleteFile('c:\users\ам\appdata\roaming\toc\nrjq.exe','32');
 DeleteFile('c:\users\ам\appdata\roaming\toc\uj9o6.exe','32');
 DeleteSchedulerTask('DirectXUtilTask');
 DeleteFile('C:\ProgramData\DirectX\graphics\directxutil.exe','64');
 DeleteSchedulerTask('uTorrentProUpdaterV5');
 DeleteSchedulerTask('TMPSYSUPD');
 DeleteFile('C:\Users\Public\Pictures_5\Documents_3\SgrmBroker.exe','64');
 DeleteFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe','64');
 DeleteSchedulerTask('WinAMDTweak');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

2024.12.21_quarantine_2914b0937f3815dd7379c0854f2a6dbb.7z

 

CollectionLog-2024.12.21-18.40.zip

Ссылка на комментарий
Поделиться на другие сайты

Не нужно полностью цитировать выдаваемые Вам рекомендации. Для написания ответа просто используйте соответствующее окно внизу темы.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Вылезла вот такая ошибка может эта из-за того что я свернул яндекс браузер?

Desktop Screenshot 2024.12.21 - 18.55.54.46.png

Addition.zip

 

эта ошибка несколько раз вылезала. И ещё этот миниагент-эта троян вирус или что эта?

miniagent.log

Ссылка на комментарий
Поделиться на другие сайты

25 минут назад, Naicer сказал:

Вылезла вот такая ошибка

связано с блокировками, установленными майнером, в т.ч. и для запуска bcdedit.

 

После скрипта

Цитата

gt-launcher 5.2.2
toc
uTorrent 8.1.1
Архиватор РАР, версия 2.8.12
Кнопки сервисов Яндекса на панели задач

удалите через Установку программ или принудительно с помощью Geek Uninstaller

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
Folder: C:\Users\Public\Pictures_5
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-706783482-746921951-2097840528-1001] => 85.159.230.204:1080
C:\Users\АМ\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\АМ\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\enabmkhaajbngnmjejdmablfbdfpokdo
Edge DefaultSearchURL: Default -> hxxps://x-finder.pro/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> x-finder.pro
Edge DefaultSuggestURL: Default -> hxxps://x-finder.pro/search/suggest.php?q={searchTerms}
C:\Users\АМ\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\leifkeoalnhcknnnejjddjppnolfieoi
C:\Users\АМ\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
Task: {4018252E-026A-4E14-8249-2DD325443666} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-706783482-746921951-2097840528-1001 => MessengerHelper.exe  --lassie (Нет файла)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
2024-12-10 18:20 - 2024-12-10 18:20 - 000000000 ____D C:\WINDOWS\system32\Tasks\WProxy
2024-12-21 18:30 - 2023-06-24 16:40 - 000000000 ____D C:\Users\АМ\AppData\Roaming\toc
2024-12-21 16:47 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4298]
AlternateDataStreams: C:\ProgramData\PA_OF.dat:43D8C46CF1 [4298]
AlternateDataStreams: C:\ProgramData\PA_OF.dat:543982F0E9 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\µTorrent.lnk:27CED3D9D4 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks (64-bit).lnk:1AE75F00A0 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager (64-bit).lnk:08F24322FE [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks Multi-Instance Manager.lnk:FE00AE19CB [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project.lnk:3B7F7AA2C3 [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio.lnk:8113B7619D [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wallpaper Engine 2.0.98.lnk:A12E8B4B6F [4298]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4298]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4212]
FirewallRules: [{2E661901-1257-4D6F-A038-2E33EBA589D1}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
FirewallRules: [{CE955AAE-68E9-41B0-AFE8-60C09315AE7D}] => (Allow) C:\Program Files\WProxy\WinProxy\repocket-m.exe => Нет файла
FirewallRules: [{FF841443-5F7B-4F5C-BFCA-D9BEE8D064EC}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{EFC74022-FE4C-4820-85DE-0309F78A2DCA}] => (Allow) C:\Program Files\WProxy\WinProxy\WinProxy.exe => Нет файла
FirewallRules: [{941E5D5A-9C1D-452D-80A8-679A65A99A01}] => (Allow) 㩃啜敳獲쁜峌灁䑰瑡屡潒浡湩屧潴屣剮兪攮數 => Нет файла
FirewallRules: [{70485AE9-28BC-4D02-9408-7172FBD626B9}] => (Allow) 㩃啜敳獲쁜峌灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{9570FEE4-66C1-4A1C-B381-7150511EE07D}] => (Allow) 㩃啜敳獲쁜峌灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{4DB59A38-58E1-49B4-9312-07668DF66F88}] => (Allow) 㩃啜敳獲쁜峌灁䑰瑡屡潒浡湩屧潴屣䩕漹⸶硥e => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Сообщение от модератора thyrex

Наберитесь терпения и ждите ответ, а не устраивайте цирк с сообщениями

 


 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • иван20231
      От иван20231
      Долгое время компьютер очень сильно шумит и греется, переустанавливал windows, вижу, что сохранились старые пользователи при открытии свойств папок. Запускаю av blocker, он сразу удаляет delminer.txt, касперский и все прочие не работают. Windows 11
    • Димон3778
      От Димон3778
      И так, первый раз на форуме..
      я поймал майнер и теперь не могу от него избавиться, раньше удавалось там с помощью dr.web cureit или ещё чего, а теперь антивирусы его не видят, переустановил винду и это не помогло, он тупо греет видюху, не нагружает а именно только греет её до 83-85 градусов, помогите я не знаю что мне делать.
×
×
  • Создать...