Скачал "Nanominer"-майнер + ещё "ddxdiag"-троян хочу удалить, но они восстанавливаются, в диспетчере задач отображается как "системные прерывания, нужна помощь, пожалуйста

[--GoSSaMeR--]

       скачал обход дискорда от PeekBot а там майнер, Cureit нашел exe файл и удалил его но он восстановился

[--GoSSaMeR--]

 

 

CollectionLog-2024.12.22-13.35.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Client Helper 6.1.4

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

Что не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe', '');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe', '');
 QuarantineFile('C:\ProgramData\Fonts_Backup\Fonts_Backup\SgrmBroker.exe', '');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe', '');
 QuarantineFile('C:\Users\Xeon бум-бум\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '');
 DeleteSchedulerTask('DirectXUtilTask');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('TMPSYSUPD');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1729694905438');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1729694908986');
 DeleteSchedulerTask('WinAMDTweak');
 DeleteFile('C:\Program Files\Client Helper\Client Helper.exe', '64');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe', '');
 DeleteFile('C:\ProgramData\DirectX\graphics\directxutil.exe', '64');
 DeleteFile('C:\ProgramData\Fonts_Backup\Fonts_Backup\SgrmBroker.exe', '64');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe', '32');
 DeleteFile('C:\Users\Public\Libraries\directx\dxcache\ddxdiag.exe', '64');
 DeleteFile('C:\Users\Xeon бум-бум\AppData\Roaming\utorrent\pro\uTorrentPro.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

[--GoSSaMeR--]

 

CollectionLog-2024.12.22-15.55.zip

[Sandor]

Хорошо, продолжаем.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[--GoSSaMeR--]

3 раза вылазила ошибка bcdedit.exe, а так просканировалоAddition.txtFRST.txt

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  IFEO\aswidsagent.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\autoruns.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\autorunsc.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\AvastSvc.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\AvastUI.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\avp.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\bcdedit.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\dism.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\egui.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\ekrn.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\GlassWire.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\GlassWireSetup.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\klwtblfs.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\KVRT.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\mbamagent.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\mbamservice.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\mbamtray.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\mmc.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\mstsc.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\PowerTool.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\PowerTool64.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\ReAgentc.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\recoverydrive.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\rstrui.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\systemreset.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\tcpview.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\tcpview64.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\vssadmin.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\Wireshark.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\wuapihost.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\wuauclt.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\x32dbg.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\x64dbg.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\xcopy.exe: [MinimumStackCommitInBytes] 1099466887
  Task: {49C4F46B-9518-4F45-BCE1-8CF9BB5BB773} - System32\Tasks\Windows\Sysmain\HybridDriveCachePrepopulate => C:\Windows\SysWOW64\hd\HybridDriveCachePrepopulate.jar  (Нет файла)
  C:\Users\Xeon бум-бум\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\njmlhnlfkneicendgdochnkcdnmhhlaf
  CHR HKU\S-1-5-21-3417525988-2517060173-3380738156-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9182]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки соберите новые логи FRST.txt и Addition.txt. Сканирование не прерывайте, даже если покажется, что программа зависла, просто дождитесь окончания.

[--GoSSaMeR--]

Fixlog.txtа типо скопированный код никуда вставлять не надо было?

 

[Sandor]

Верно, скрипт выполнился из буфера обмена.

 

15 минут назад, Sandor сказал:

соберите новые логи FRST.txt и Addition.txt

Жду.

[--GoSSaMeR--]

Addition.txtFRST.txt

[Sandor]

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Folder: C:\ProgramData\DirectX
  Folder: C:\ProgramData\Fonts_Backup
  2024-10-17 21:56 - 2024-12-22 15:42 - 000000000 ____D C:\Program Files\Client Helper
  2024-10-17 21:56 - 2024-12-17 13:48 - 000006719 _____ C:\Users\Xeon бум-бум\ex-list2.json
  2024-10-17 21:56 - 2024-10-17 22:01 - 000000000 ____D C:\Users\Xeon бум-бум\AppData\Roaming\ClientHelper
  2024-10-17 21:56 - 2024-10-17 21:56 - 000000000 ____D C:\Users\Xeon бум-бум\AppData\Roaming\com.gtoppocket.launcher
  2024-10-17 21:56 - 2024-10-17 21:56 - 000000000 ____D C:\Users\Xeon бум-бум\AppData\Local\clienthelper-updater
  2024-12-16 22:06 - 2019-12-07 12:14 - 000000000 __SHD C:\Users\Public\Libraries
  StartPowershell:
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users\Public"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[--GoSSaMeR--]

Fixlog.txt

[Sandor]

Папки

C:\ProgramData\DirectX\graphics

C:\ProgramData\Fonts_Backup\Fonts_Backup

удалите вручную (они пустые).

 

А также удалите лишние исключения Защитника.

 

Сообщите что с проблемой.

[--GoSSaMeR--]

   вроде как папка libraries в общих пользователях пропала, а значит и майнер с ней, без диспетчера задач видюха не греется, но процесс системные прерывания никуда не пропал, а также подскажите пожалуйста как удалить лишние исключения защитника? заранее спасибо за все, уже не знал что делать

 

[Sandor]

11 часов назад, --GoSSaMeR-- сказал:

процесс системные прерывания никуда не пропал

Он и не должен пропасть. Другое дело сколько этот процесс потребляет.

 

11 часов назад, --GoSSaMeR-- сказал:

как удалить лишние исключения защитника?

В предыдущем сообщении моя фраза является ссылкой, ведущей на подробную инструкцию.

 

И в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.