[РЕШЕНО] Словил какой то майнер

[Taboo]

Доброго дня.

 

Последнее время ноут работал на износ, решил проверить на вирусы и выявил какой-то вирус майнер ( не шибко силен в этом). Почитал в инете, какая то злостная штука. Скачать антивирус не дает, на часть сайтов зайти не дает, диспетчер задач, как и ряд системных функций включить не дает.

с помощью телефона и облачного хранилища ужалось поставить DrWeb Curelt, выявил пачку троянов и других вирусов, вылечил вроде как, но с перезапуском системы они вновь расплодились.

Подскажите плз решение проблемы.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Taboo]

Есть в этом небольшая проблема, сам сайт СэйфЗон с ноута не открывается, скачал как и ранее на телефон и облако Автологгер, но архив не распаковывается, если его открывать то он автоматом закрывается, если распаковывать через правую кнопку мыши - выдает что нет файлов.

[safety]

Пробуйте пока собрать образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Taboo]

9 минут назад, safety сказал:

Пробуйте пока собрать образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Тоже не дает выгрузить лог, при сканировании софт вылетает в одном и том же месте, когда находит какой то подозрительный параметр в файле. Успел заскринить перед вылетом. Внизу в логе.

[safety]

пробуйте из безопасного режима системы собрать образ автозапуска

[thyrex]

Перед распаковкой архива с Autologger переместите его в любую другую папку из папки Загрузки (Downloads), только не на Рабочий стол (Desktop)

[Taboo]

1 час назад, safety сказал:

пробуйте из безопасного режима системы собрать образ автозапуска

К сожалению, после нескольких попыток, под разными Безопасными режимами, так и не удалось собрать. Программа вылетает там же, решил удалить прежний файл который противился, но вылеты теперь на этом этапе.

[safety]

Проверьте выше решение, которое предложено thyrex.

 

Если не получится:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[Taboo]

thyrex

Распаковать в разные места удалось, но в нормальном режиме вирус не дает открыть папку, как видит файл сразу все закрывается. 
Получилось сделать какой никакой лог только в безопасном режиме, возможно он как то поможет.

CollectionLog-2025.02.09-16.55.zip

 

safety

В обычном режиме Виндовс, Логеры не дает включать, как только открываю программу она моментально закрывается, что Автоллогер, что AV. Смена имени помогла только чтобы открыть папки, но запустить - увы. Будет ли полезен лог если его делать в Безопасном режиме, попробовать?

[thyrex]

1 час назад, Taboo сказал:

Будет ли полезен лог если его делать в Безопасном режиме, попробовать?

Да, выполняйте

[Taboo]

32 минуты назад, thyrex сказал:

Да, выполняйте

Вот логи от обеих программ в Безопасном режиме

avz_log2.txt avz_log.txt avz_sysinfo.zip CollectionLog-2025.02.09-19.12.zip

[thyrex]

Нужно запустить AVBR в безопасном режиме и собрать его лог. После этого должно полегчать.

[Taboo]

38 минут назад, thyrex сказал:

Нужно запустить AVBR в безопасном режиме и собрать его лог. После этого должно полегчать.

В безопасном режиме запустил, он вроде что-то почистил, удалил юзера John, но я не понял куда он сохранил Лог, в ручную не успел т.к. он сам ребутнул комп.

Сейчас пускает на ваш форум и даже дает скачать Cuerlt без костылей.

Какие дальнейшие действия?

[thyrex]

Лог сохраняется в папке, откуда запускали AVBR. Пришлите его.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.