Перейти к содержанию
Правила раздела

На пк "Nanominer", если сношу самостоятельно - постоянно восстанавливается, через касперский такая же ситуация.

Vinchi

Автор Vinchi
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Vinchi

Vinchi

Опубликовано
Опубликовано

Решил я скачать фикс для дс. Зашёл на ютуб и вбил, нашел вроде нормального ютубера, видео хорошее, лайков много и комментарии все хорошие. Ну скачал я через некоторое время моему пк стало очень плохо, начал сильно лагать и т.д. Пытался найти проблему - не смог. Решил переустановить винду. Переустановил я винду и снова те же симптомы. Думал, что что-то не так с технической стороны пк, сдал его в сервис там сидели и думали на протяжении 4 дней - ничего не нашли. Потом я решил сам покопаться в системе и нашел тот самый - nanominer. Пытался его удалить через касперский - когда его удаляешь он восстанавливается, вручную удаляешь - итог тот же. Очистил все бек апы, удаляю - восстанавливается. Так же когда открыт диспетчер задач - нагрузка на пк 8%-10% ЦП, когда закрыт - 100% ЦП. Так же AutoLogger не работает, когда диспетчер задач закрыт, говорит, что нет доступа к AV

CollectionLog-2024.12.23-19.43.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 

O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\svchost.exe: [MinimumStackCommitInBytes] = 0x8000
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\skvor\Desktop\zapret\bin\WinDivert64.sys','');
 TerminateProcessByName('c:\programdata\music_upd\music_upd\sgrmbroker.exe');
 QuarantineFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
 DeleteFile('c:\programdata\music_upd\music_upd\sgrmbroker.exe','32');
 DeleteSchedulerTask('TMPSYSUPD');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Когда ввел 1 скрипт, после перезагрузки пк вылезла ошибка: "Службе" Служба профилей пользователей " не удалось войти в систему. Невозможно загрузить профиль пользователя. " и теперь не могу войти на рабочий стол

thyrex

thyrex

Опубликовано
Опубликовано
10 часов назад, Vinchi сказал:

Когда ввел 1 скрипт

Фикс в HiJack или скрипт AVZ?

thyrex

thyrex

Опубликовано
Опубликовано

В AVZ ничего системного затронуть не должно было. Удалялся только майнер.

Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Хорошо, тогда решу эту проблему через ютуб, введу 2 код в AVZ и скину вам логин. 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {95864299-5B1E-49A8-A467-0B30E636F068} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {95CE3166-D3A0-4DDB-94C8-F6D23B537815} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
S3 GPU-Z-v2; \??\C:\Users\skvor\AppData\Local\Temp\GPU-Z-v2.sys [X] <==== ВНИМАНИЕ
2024-12-23 18:43 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\Music_Upd
2024-12-10 16:05 - 2024-12-10 16:05 - 000000000 ____D C:\ProgramData\DirectX
FirewallRules: [{87A5EF36-6B09-47F9-964B-BD632690FDA9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Vinchi

Vinchi

Опубликовано
  • Автор
Опубликовано

Нет. На рабочем столе пк нагружен на 100%. Так же касперский детектит все ещё этот майнер. image.thumb.png.a06bcec3dbe737e6cc45a1f3e4b6b6b2.png

thyrex

thyrex

Опубликовано
Опубликовано

Так это в папке с карантином Farbar. Папку можно просто удалить.

 

Майнер зачищен полностью. 

2 часа назад, Vinchi сказал:

На рабочем столе пк нагружен на 100%

Это что значит?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Гюнтер1613
      HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • Марк Громов
      Проблема с вирусом или трояном.
      Автор Марк Громов
      Здравствуйте, возникла проблема. При запуске ПК программа "Безопасность Windows" предупреждает об опасности и помещении угрозы в карантин.
       
      Обнаружено:
      Adware:Win32/BrowserAssistant
       
      Затронутый элемент:
      file: C:\Users\User\AppData\Local\Temp\nsw9C71.tmp\7z-out\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
    • KolanK
      Вирус Robotdemo
      Автор KolanK
      На пк сидит майнер Robotdemo. Антивирусы его не находят, только через Advance system care получается его снести на некоторое время. Спустя несколько дней (бывает даже раньше) он появляется снова.  В папке ProgramData он тоже не отображается.


      CollectionLog-2026.01.13-19.23.zip
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
×
×
  • Создать...