Перейти к содержанию

После попытки установки обхода блокировки дискорд поймал майнер


Denis K

Рекомендуемые сообщения

Здравствуйте,скачал обход дискорда поймал майнер,вирус.Компьютер стал тормозить,касперский выдал нахождение в google updater exe,при попытки лечений,выдало три ошибки и после пк вылетел с синим экраном.так же я не знаю но в диспетчере появился или был powershell exe.Прошу помочь и разобратся.При попытки лечения трижды с тремя ошибками синий экран во время лечения.

CollectionLog-2024.12.23-01.02.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page Redirect Cache] = hxxps://vvv.msn.com/ru-ru?pc=UE12&ocid=UE12DHP
R1-32 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search: [CustomizeSearch] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text=
R1-32 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search: [SearchAssistant] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text=
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3C}: [URL,SuggestionsURL,SuggestionsURLFallback] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text={searchTerms} - >
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3D}: [URL,SuggestionsURL,SuggestionsURLFallback] = hxxp://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=bd36c936fc4186691b4eca01c894d091&text= - >
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - HKCU\..\: [] = 8249456 (file missing)
O4 - HKLM\..\RunOnce: [be2743ab-cba8-4dbf-bdb3-9aa01f24feac] = C:\Users\Admin\AppData\Local\Temp\{a9869edb-787a-42b3-97da-80a8fe366e62}\be2743ab-cba8-4dbf-bdb3-9aa01f24feac.cmd (not signed - no company - AA6BAB552CFFEB92610F28BD23FAAFAFC2E384C7)
O4 - MountPoints2: HKCU\..\{3537dfcc-c427-11ea-a952-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{4b27cf7c-b67c-11e8-913a-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{4e635034-0610-11ea-8f2d-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{6a17c13c-c814-11ea-92ce-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{756d31d9-215d-11e9-a809-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{793e4b2b-ddb0-11e8-aa82-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{8e30b81a-6bfa-11e9-aa90-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9a803d08-fd57-11e9-9a15-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{9d19de18-30f7-11e9-a1a6-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{a5acebcd-72fd-11e9-9b9a-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{a683f8c9-4a6b-11ea-aa9a-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{b5efe56e-1920-11ec-a39f-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{d1a22927-3f8d-11eb-add5-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{dabb372c-c26f-11e9-8a04-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{dff20e9e-91e8-11ea-9259-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e4f24652-d47f-11e9-a216-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e618116f-a7d1-11ee-a4d2-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{e91555ed-4416-11ea-a398-0862664bc478}\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{eead7f25-053e-11ea-99f4-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{f8e0fb1f-9df8-11e8-ab3c-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\{f8e0fb2a-9df8-11e8-ab3c-0862664bc478}\shell\AutoRun\command: (default) = E:\HiSuiteDownLoader.exe (file missing)
O4 - MountPoints2: HKCU\..\E\shell\AutoRun\command: (default) = E:\setup.exe (file missing)
O4 - MountPoints2: HKCU\..\I\shell\AutoRun\command: (default) = I:\HiSuiteDownLoader.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock.job - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Task (.job): (Ready) Update Service for Youtube AdBlock2.job - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2D91715C-0113-445C-92E9-5BF431D3B2D9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CA90D94C-B066-4D82-A605-B139F216F160} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector (no xml)
O22 - Tasks: {77815455-DE73-473E-80D7-C73E2253FB74} - C:\Riot Games\League of Legends\LeagueClient.exe (file missing)
O22 - Tasks: {A2CA54CB-7E8B-4DBB-87BF-59742CF5BBE6} - C:\Riot Games\League of Legends\LeagueClient.exe (file missing)
O22 - Tasks: {BE84A1B8-50A5-4D74-BF37-A08B38C1A8E1} - C:\Users\Admin\AppData\Local\Discord\app-1.0.9171\Discord.exe (file missing)
O22 - Tasks: {E2990A42-73A4-45DB-9C69-A1D24DAD2E36} - C:\Games\The Suffering\SUFFERING.EXE (file missing)
O22 - Tasks: BlueStacksHelper - C:\ProgramData\BlueStacks\Client\Helper\BlueStacksHelper.exe (file missing)
O22 - Tasks: GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Tasks: Update Service for Youtube AdBlock - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O22 - Tasks: Update Service for Youtube AdBlock2 - C:\Program Files (x86)\Youtube AdBlock\E9bS8mK.exe (file missing)
O23 - Driver S3: WinDivert - C:\Logs\sdfsdf\bin\WinDivert64.sys (file missing)
O23 - Driver S3: xhunter1 - C:\Windows\xhunter1.sys (file missing)
 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CurseClientStartup.ccip [2016-07-28] () <==== ВНИМАНИЕ [нулевой байт Файл/Папка]
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers1: [NTLEA_Menu] -> {2A963EEF-6970-41fa-936B-8ECDB2ED1000} => C:\Users\Admin\Desktop\NTLEA 0.92\NTLEA_Menu.DLL -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.16] -> {AE776072-9FCA-48AF-941C-5759266BB644} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} =>  -> Нет файла
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\desktop.ini:CachedTiles [480]
AlternateDataStreams: C:\Users\Admin\Application Data:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\Admin\AppData\Roaming:77a575add9465d78c606d381e5f202fb [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [474]
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  Нет файла
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
Toolbar: HKU\S-1-5-21-1819710620-997699909-1514651368-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
FirewallRules: [{F7F71780-6E92-4C56-ACD2-E839E0206653}] => (Allow) J:\АМАЗОНИЯ\Amazonia.exe => Нет файла
FirewallRules: [{E12B52CC-5438-4191-A468-DB9496663989}] => (Allow) C:\Program Files\BlueStacks_bgp64\HD-Player.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Вроде сделал как вы просили,пк перезагрузился,но запуск виндовс висел минут 8-10 ,пришлось нажать кнопку принудительной перезагрузки.

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • LoWiX
      От LoWiX
      Здравствуйте, недавно установил обход блокировки системы и после этого при незначительном простое ПК нагружается на сотку видеокарта, процессор. Прикрепляю логи ниже. Буду признателен если поможете.CollectionLog-2024.12.22-15.08.zip
    • Big_Jamal
    • vort8x
      От vort8x
      Банально хотел бы попросить помощь в удалении, т.к. антивирус с ним не справился и после перезагрузки он появился снова. Логи прилагаю: 
      CollectionLog-2024.12.22-21.06.zip
    • Gyutaro0
    • trashdetectiv
      От trashdetectiv
      Установил zapret для обхода блокировки discord'a с репозитория.

      После установки, появился майнер, который работает под видом dialer.exe. Были заполнен файл hosts новыми элементами и мною успешно почищен. Далее отследил папку C:\ProgramData\Google\Chrome\updater.exe и также успешно удалён и в автозапуске тоже. Чуть позже обратил внимания на ошибку при попытке скачать приложение с microsoft store: "произошла ошибка одна из служб работает неправильно ...". Проверил службу обновления винды, она называется ..._bkp. Погуглил, нашёл на форуме kaspersk'ого такую же проблему со службой - и пошёл проверять у себя. Выяснилось, что у меня всё так же. Через реестер переименовал все папки, но проблема с microsoft store не ушла. Служба обновления винды работает, но в параметрах пишет "что-то пошло не так. попытайтесь повторно открыть параметры позже" и значок паузы.

      Хочу убедиться, что не осталось остаточных файлов от майнера.

      Windows 11
       
      CollectionLog-2024.11.22-00.18.zip
×
×
  • Создать...