Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Словил какой то майнер

Taboo

Автор Taboo
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Taboo

Taboo

Опубликовано
Опубликовано

Доброго дня.

 

Последнее время ноут работал на износ, решил проверить на вирусы и выявил какой-то вирус майнер ( не шибко силен в этом). Почитал в инете, какая то злостная штука. Скачать антивирус не дает, на часть сайтов зайти не дает, диспетчер задач, как и ряд системных функций включить не дает.

с помощью телефона и облачного хранилища ужалось поставить DrWeb Curelt, выявил пачку троянов и других вирусов, вылечил вроде как, но с перезапуском системы они вновь расплодились.

Подскажите плз решение проблемы.

Taboo

Taboo

Опубликовано
  • Автор
Опубликовано

Есть в этом небольшая проблема, сам сайт СэйфЗон с ноута не открывается, скачал как и ранее на телефон и облако Автологгер, но архив не распаковывается, если его открывать то он автоматом закрывается, если распаковывать через правую кнопку мыши - выдает что нет файлов.

IMG_1495.jpeg

safety

safety

Опубликовано
Опубликовано

Пробуйте пока собрать образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Taboo

Taboo

Опубликовано
  • Автор
Опубликовано
9 минут назад, safety сказал:

Пробуйте пока собрать образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Тоже не дает выгрузить лог, при сканировании софт вылетает в одном и том же месте, когда находит какой то подозрительный параметр в файле. Успел заскринить перед вылетом. Внизу в логе.IMG_1496.thumb.jpeg.8fdc28147a6780398ef38258d8233247.jpeg

safety

safety

Опубликовано
Опубликовано

пробуйте из безопасного режима системы собрать образ автозапуска

thyrex

thyrex

Опубликовано
Опубликовано

Перед распаковкой архива с Autologger переместите его в любую другую папку из папки Загрузки (Downloads), только не на Рабочий стол (Desktop)

Taboo

Taboo

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

пробуйте из безопасного режима системы собрать образ автозапуска

К сожалению, после нескольких попыток, под разными Безопасными режимами, так и не удалось собрать. Программа вылетает там же, решил удалить прежний файл который противился, но вылеты теперь на этом этапе.

IMG_1497.jpeg

safety

safety

Опубликовано
Опубликовано

Проверьте выше решение, которое предложено thyrex.

 

Если не получится:

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Taboo

Taboo

Опубликовано
  • Автор
Опубликовано

thyrex

Распаковать в разные места удалось, но в нормальном режиме вирус не дает открыть папку, как видит файл сразу все закрывается. 
Получилось сделать какой никакой лог только в безопасном режиме, возможно он как то поможет.

CollectionLog-2025.02.09-16.55.zip

 

safety

В обычном режиме Виндовс, Логеры не дает включать, как только открываю программу она моментально закрывается, что Автоллогер, что AV. Смена имени помогла только чтобы открыть папки, но запустить - увы. Будет ли полезен лог если его делать в Безопасном режиме, попробовать?

thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, Taboo сказал:

Будет ли полезен лог если его делать в Безопасном режиме, попробовать?

Да, выполняйте

thyrex

thyrex

Опубликовано
Опубликовано

Нужно запустить AVBR в безопасном режиме и собрать его лог. После этого должно полегчать.

Taboo

Taboo

Опубликовано
  • Автор
Опубликовано
38 минут назад, thyrex сказал:

Нужно запустить AVBR в безопасном режиме и собрать его лог. После этого должно полегчать.

В безопасном режиме запустил, он вроде что-то почистил, удалил юзера John, но я не понял куда он сохранил Лог, в ручную не успел т.к. он сам ребутнул комп.

Сейчас пускает на ваш форум и даже дает скачать Cuerlt без костылей.

Какие дальнейшие действия?

thyrex

thyrex

Опубликовано
Опубликовано

Лог сохраняется в папке, откуда запускали AVBR. Пришлите его.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O18 - HKLM\Software\Classes\Protocols\Filter\application/octet-stream: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-complus: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Filter\application/x-msdownload: [CLSID] = {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-minsb-roaming.16: [CLSID] = {83C25742-A9F7-49FB-9138-434302C88D07} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf.16: [CLSID] = {5504BE45-A83B-4808-900A-3A5C36E7F77A} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf-roaming.16: [CLSID] = {42089D2D-912D-4018-9087-2B87803E93FB} - (no file)

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • detanatar
      Похоже поймал майнер - самостоятельное исследование не помогло
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
    • barabaka
      Trojan.Siggen31.34463
      Автор barabaka
      Загружена память на 40 процентов с включения компьютера.Стало подлагивать при серфе соцсетей,собственно drweb curelt показал троян в папке utorrent -lib.dll .
      Робин гуд,не проходи мимо!)
      CollectionLog-2026.06.02-13.26.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Blin
      2 угрозы не лечатся Cureit и возникают снова (Trojan.BtcMine.3968,HOSTS:SUSPICIOUS.URL)
      Автор Blin
      Доброго времени суток!
      Недавно заметил, что пк стал работать довольно  медленно, но при открытии диспетчера задач, работоспособность вроде бы восстанавливается. Сразу пошёл проверять пк на вирусы и обнаружил данные проблемы. После перезагрузки компьютера угрозы возникают снова. Переустановка  операционной системы нежелательна, поэтому ищу иной способ лечения. Буду благодарен за помощь в решении данной проблемы.

      log.zip
    • lonfalt
      Майнер на компе
      Автор lonfalt
      всем привет, недавно я был взломан ребятами, скачал с гитхаба обход дискорда и ютуба. По моему решению было переустановить винду, так как в тг и дискорд они ломились , как бешенные. После переустановки винды через образ, я заметил, что в диспетчере у меня нагруз 90 процентов или 100, а потом резко или плавно уходит до 1-4%
      CollectionLog-2026.05.14-20.34.zip
×
×
  • Создать...