Перейти к содержанию

Нашел майнер на компьютере


Рекомендуемые сообщения

Недавно пытался обойди блокировку дискорда, но получил майнер, пытался его удалить через Kaspersky Virus Removal Tool и Dr.Web CureIt, но ничего не помогло, помогите пожалуйста. ЛОГИ:

CollectionLog-2025.02.04-10.10.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 127.0.0.1:10809 (disabled)
O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\programdata\directx\graphics\directxutil.exe');
 QuarantineFile('c:\programdata\directx\graphics\directxutil.exe','');
 TerminateProcessByName('c:\users\public\libraries\directx\dxcache\ddxdiag.exe');
 QuarantineFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','');
 DeleteFile('c:\users\public\libraries\directx\dxcache\ddxdiag.exe','32');
 DeleteFile('c:\programdata\directx\graphics\directxutil.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-812325539-969442074-2902555940-1000\...\Run: [YandexBrowserAutoLaunch_359E43767C1BFDADFAAB676785A1E526] => "C:\Users\user\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {1F91FD16-A4CF-42CC-AD64-0C028702D2FF} - \WinAMDTweak -> Нет файла <==== ВНИМАНИЕ
Task: {EC919C76-0A8F-4777-BFC3-BE1DE2155F0B} - \DirectXUtilTask -> Нет файла <==== ВНИМАНИЕ
Task: {E5FA83C0-DA57-4E1A-B732-0AF470A8DBB2} - System32\Tasks\CLToast => "C:\Program Files (x86)\CyberLink\Shared files\CLToast.exe"  -UpdateSchedule (Нет файла)
Task: {BE515AD2-B439-4DBA-8C01-81858C3BD6FD} - System32\Tasks\CLToastRun => "C:\Program Files (x86)\CyberLink\Shared files\CLToast.exe"  -UpdateScheduleRun (Нет файла)
Task: {200652F3-A331-45BA-B07E-FDC7AB6DFB3E} - System32\Tasks\Launch Adobe CCXProcess => "C:\Program Files\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe"  (Нет файла)
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Нет файла)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Нет файла)
Task: {B20BBCC4-1908-432F-BB14-8AE2B3D9E90C} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Нет файла)
Task: {62F5A74D-0B8C-4EDC-B572-52A2FABF03EE} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {7D2C7CA7-4014-41A5-B137-4DA6ACCDECA8} - System32\Tasks\PowerDirectorStyleAgent => C:\Program Files (x86)\CyberLink\Shared files\PDStyleAgent\PDStyleAgent.exe  (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2025-01-24 10:08 - 2024-04-01 10:26 - 000000000 __RHD C:\Users\Public\Libraries
CustomCLSID: HKU\S-1-5-21-812325539-969442074-2902555940-1000_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe (VOICEMOD, INC. SUCURSAL EN ESPAÑA -> Voicemod)
CustomCLSID: HKU\S-1-5-21-812325539-969442074-2902555940-1000_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers1: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers2: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers4: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Plus 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.15\x64\shellex.dll -> Нет файла
ContextMenuHandlers6: [Kaspersky Standard 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => C:\Program Files (x86)\Kaspersky Lab\Kaspersky 21.17\x64\shellex.dll -> Нет файла
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8716]
FirewallRules: [UDP Query User{F80D44EA-05F1-4AEB-A582-A662D450C394}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{A2330F3C-CC6E-48C6-A6E2-D22569F40E47}C:\excellentrecode\runtime\bin\java.exe] => (Allow) C:\excellentrecode\runtime\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{E00DCC3B-ABCD-4736-B853-5DEF6A4641F6}C:\excellent\excellent\java\bin\java.exe] => (Allow) C:\excellent\excellent\java\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{7A75E169-6959-4B93-8F16-47D47BC37C16}C:\excellent\excellent\java\bin\java.exe] => (Allow) C:\excellent\excellent\java\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{3249E25F-BC94-44FF-8A21-5FC3AF21EF33}C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe] => (Allow) C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe => Нет файла
FirewallRules: [TCP Query User{09EE06C4-2EC0-4D6F-839E-2F4470D6F795}C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe] => (Allow) C:\users\user\downloads\nekoray-3.26-2023-12-09-windows64\nekoray\nekoray.exe => Нет файла
FirewallRules: [UDP Query User{3404B33B-54CE-4B29-B1EA-AC33CD7284EA}C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe => Нет файла
FirewallRules: [TCP Query User{CD5C758C-8951-48D2-86D9-0A8BE2761376}C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\ddracenetwork\ddnet\ddnet-server.exe => Нет файла
FirewallRules: [{31DA1927-DED4-43BF-83E2-2C224770F4CE}] => (Allow) C:\program files (x86)\wondershare\drfone\drfonetoolkit.exe => Нет файла
FirewallRules: [{998E7F32-2E8A-4FF7-9BA0-D479684ED670}] => (Allow) C:\Users\user\Downloads\4ukey-for-android_11726255564164141901.exe => Нет файла
FirewallRules: [{84EF7BB4-8C5D-4E56-876C-6404FB0AB9BE}] => (Allow) C:\Users\user\Downloads\4ukey-for-android_11726255564164141901.exe => Нет файла
FirewallRules: [UDP Query User{4DE193B3-6CB2-4DE0-BC43-9B06639284B9}C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe => Нет файла
FirewallRules: [TCP Query User{609E422B-6111-49DB-8B70-1B674A03903C}C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\indigo park\raccoon\binaries\win64\raccoon.exe => Нет файла
FirewallRules: [UDP Query User{1DA8C17A-8969-4C1E-A437-C150EEEEC5B0}C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe] => (Allow) C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe => Нет файла
FirewallRules: [TCP Query User{8BBD8716-A84B-4E79-9DB3-3532BDB81192}C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe] => (Allow) C:\users\user\appdata\local\temp\2ipml74uacw1elrnonflna2izp9\resources\hydra-download-manager\hydra-download-manager.exe => Нет файла
FirewallRules: [UDP Query User{C8E0881C-4C83-44E2-A326-08187B9ECE8E}C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{B055BE49-709A-4D43-9945-01D67973614B}C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\kitchen simulator 2015\engine\binaries\win64\ue4game-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{7176DD53-47A7-4C55-BD3B-754139CB2914}D:\zona downloads\portable spotify\app\spotify\spotify.exe] => (Allow) D:\zona downloads\portable spotify\app\spotify\spotify.exe => Нет файла
FirewallRules: [TCP Query User{E4C8AFCB-EFFB-4606-8CF5-F51ADD386ED6}D:\zona downloads\portable spotify\app\spotify\spotify.exe] => (Allow) D:\zona downloads\portable spotify\app\spotify\spotify.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Нет просто мне нужно было на работу вот данный файл Fixlog.txt извините за ожидание

 

Изменено пользователем egor536457253453
Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • dlitsov
      Автор dlitsov
      Скачал набор офисных приложений word на следующий день начался полный кошмар, в игре просидал FPS , начал искать проблему 
      диспетчер задач сам закрывался , хотел установить антивирус не получилось , на официальные сайты не дает зайти пишу с телефона , смог установить AVbr сейчас прикреплю логи  . Сейчас уеду на работу , завтра готов к уничтожению его
      14d904d13b62d5466385f8e797bef654.txt
    • RobertoN1
      Автор RobertoN1
      Заметил что, когда открываю папку ProgramData, то через пару секунд она закрывается, но в самой папке находится Avast, который я никогда в жизни не скачивал у меня нету вообще антивирусов на компьютере, использовал AVbr в безопасном режиме и AutoLogger как было сказано в гайдах, прошу помочь!
      CollectionLog-2025.04.02-06.21.zip AV_block_remove_2025.04.02-06.08.log
    • super__feya
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
    • ZombOs
      Автор ZombOs
      Столкнулся с вирусом при попытке проверить файл на Вирус тотал. При просмотре диспетчера, заметил подозрительный процесс под именем "COM Surrogate", который дублировал сам себя и потреблял большой ресурс процессора. При попытке отключения процесса через диспетчер задач, процесс завершается и происходит резкий выход из диспетчера. При попытке перейти по расположению файла открывается проводник, после диспетчер и проводник резко закрываются. При попытке найти папку через безопасный режим ее нет на месте. А с подключением в интернет вовсе не работает безопасны режим. При попытке скачать антивирус пишеь, "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору". На форма нашел пост, где говорится про программу AV block remover. Скачав ее через USB, запустил ее и получил следующие файл https://vk.com/away.php?to=https%3A%2F%2Fdrive.google.com%2Fdrive%2Ffolders%2F1tFVD4TYYqrMnXJZRZQbLncv3C9BjLZDK%3Fusp%3Dsharing&utf=1. В посте указали данный форм для обращения за помощью. 



      delminer.txt
×
×
  • Создать...