Перейти к содержанию
Правила раздела
Новогодняя встреча Kaspersky Club. Записывайся скорее!

На пк "Nanominer", если сношу самостоятельно - постоянно восстанавливается, через касперский такая же ситуация.

Vinchi

Автор Vinchi
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Vinchi

Vinchi

Опубликовано
Опубликовано

Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV

CollectionLog-2024.12.23-19.43.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 

O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\skvor\Desktop\zapret\bin\WinDivert64.sys','');
 TerminateProcessByName('c:\programdata\music_upd\music_upd\sgrmbroker.exe');
 QuarantineFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','32');
 DeleteSchedulerTask('TMPSYSUPD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Когда ввел 1 скрипт, после перезагрузки пк вылезла ошибка: "Службе" Служба профилей пользователей " не удалось войти в систему. Невозможно загрузить профиль пользователя. " и теперь не могу войти на рабочий стол

thyrex

thyrex

Опубликовано
Опубликовано
10 часов назад, Vinchi сказал:

Когда ввел 1 скрипт

Фикс в HiJack или скрипт AVZ?

thyrex

thyrex

Опубликовано
Опубликовано

В AVZ ничего системного затронуть не должно было. Удалялся только майнер.

Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Хорошо, тогда решу эту проблему через ютуб, введу 2 код в AVZ и скину вам логин. 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {95864299-5B1E-49A8-A467-0B30E636F068} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {95CE3166-D3A0-4DDB-94C8-F6D23B537815} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
S3 GPU-Z-v2; \??\C:\Users\skvor\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
2024-12-23 18:43 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\Music_Upd
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\DirectX
FirewallRules: [{87A5EF36-6B09-47F9-964B-BD632690FDA9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Нет. На рабочем столе пк нагружен на 100%. Так же касперский детектит все ещё этот майнер. image.thumb.png.a06bcec3dbe737e6cc45a1f3e4b6b6b2.png

thyrex

thyrex

Опубликовано
Опубликовано

Так это в папке с карантином Farbar. Папку можно просто удалить.

 

Майнер зачищен полностью. 

2 часа назад, Vinchi сказал:

На рабочем столе пк нагружен на 100%

Это что значит?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • MrKrutoy
      [РЕШЕНО] Toool.btcMine.2782
      Автор MrKrutoy
      Столкнулся с вирусом. Прикрепляю логи.
      AV_block_remove_2025.12.04-20.35.log
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
    • Филимон
      Есть подозрение на майнер. Касперский ничего не находит.
      Автор Филимон
      Есть подозрение на майнер. Ноут достаточно теплый, шумит вентиляторами, быстро разряжает батарею. При открытии диспетчера задач вот такая картина, нагрузка с гпу резко падает, вентиляторы затихают. Стоит касперский плюс, ничего при проверках не находит. Сканирование при загрузки с флешки при помощи ремовал_тулз тоже ничего не показало.
       
       
       

    • Graf_Bender
      Словил майнер
      Автор Graf_Bender
      Добрый день. Скачал какойCollectionLog-2025.12.03-09.49.zip-то файл на комп и заметил что он стал сильно греться, проверил утилитой Dr.Web и обнаружил что на компе вирусня. Помогите плиз

×
×
  • Создать...