Перейти к содержанию
Правила раздела

Прошу помощи с удалением майнера

nDaDe

Автор nDaDe
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

nDaDe

nDaDe

Опубликовано
Опубликовано

Добрый день.

 

При запуске возникает нагрузка на процессор 100%, при запуске taskmgr она пропадает, закрываешь и все заново.

В системе установлен Касперский, но он не может найти вирус полностью.

Утилитами проверял в безопасном режиме, они находили WmiPrvSF.exe, он удалялся и через непродолжительное время все повторялось.

Логи собирал 19-01-25, уехал в командировку не успел создать тему. Компьютер с того времени еще не включался.

Был бы признателен в помощи.

CollectionLog-2025.01.19-20.37.zip FRST.txt

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\Media\Update\updatem.exe','');
 QuarantineFile('C:\Windows\Microsoft.NET\assembly\regasm.exe','');
 TerminateProcessByName('c:\windows\wmiprvsf.exe');
 QuarantineFile('c:\windows\wmiprvsf.exe','');
 QuarantineFile('C:\Windows\Logs\WMIADAP.vbs','');
 DeleteFile('C:\Windows\Logs\WMIADAP.vbs','64');
 DeleteSchedulerTask('Microsoft\Windows\Diagnosis\WinLogService');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\UpdateMedia');
 DeleteSchedulerTask('Microsoft\Windows\SoftwareProtectionPlatform\SoftwareProtectionPTask');
 DeleteFile('c:\windows\wmiprvsf.exe','32');
 DeleteFile('C:\Windows\Microsoft.NET\assembly\regasm.exe','64');
 DeleteFile('C:\Windows\Media\Update\updatem.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

nDaDe

nDaDe

Опубликовано
  • Автор
Опубликовано

Письмо с карантинным файлом скинул.

Скрипт повторно не удается запустить из-за AVZ, там проблема с получением обновлений.

1739703100395.jpg

1739703100370.jpg

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-435038274-510886600-2605603629-500\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Нет файла)
HKU\S-1-5-21-435038274-510886600-2605603629-500\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Администратор\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
Task: {71E34E67-DF04-4B8A-BEA9-67AFCA096D29} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => %ProgramFiles%\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe  (Нет файла)
Task: {6C488708-8266-48BB-A186-16E92919A895} - System32\Tasks\Opera scheduled Autoupdate 1628438843 => C:\Users\Rabbit\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 21.3\FFExt\light_plugin_firefox\addon.xpi => не найдено
Folder: C:\Windows\Media
Folder: C:\Windows\Logs
FirewallRules: [{446CEA2E-E4BC-441A-B595-B3C3FA6B2441}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{D3BEE617-07C0-4E7C-8911-388FEEDA2085}] => (Allow) C:\Program Files (x86)\Zona\Zona.exe => Нет файла
FirewallRules: [{ED5F919C-580E-4DE6-A23F-E773944DF8FD}] => (Allow) LPort=2869
FirewallRules: [{2376EEB9-FA40-41D8-BE25-D68E0138E684}] => (Allow) LPort=1900
FirewallRules: [{C2ACDE64-62B0-4070-9CB9-F8686F679274}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex4\kryptex4.exe => Нет файла
FirewallRules: [{1B02FC61-5504-4817-ADF9-53D950DC6BFD}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex3\kryptex3.exe => Нет файла
FirewallRules: [{D1EE42E7-7D2D-4C3A-B584-52CA3D37A41D}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex5\WinRing0x64.sys => Нет файла
FirewallRules: [{5983C344-3D22-4593-AEF8-953E258F68E0}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex7\EIO.exe => Нет файла
FirewallRules: [{3AC1DF4F-4A3D-48E5-A989-1FF0F8D37264}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex7\IOMap64.sys => Нет файла
FirewallRules: [{65224224-435D-47CE-8488-F4B515EDE0C7}] => (Block) C:\Users\Rabbit\AppData\Roaming\Kryptex\miners\kryptex0\kryptex0_100.exe => Нет файла
FirewallRules: [{A7335BBF-7703-40DF-A20C-E0A791F7529B}] => (Block) C:\Users\Rabbit\AppData\Local\Programs\kryptex-app\Kryptex.exe => Нет файла
FirewallRules: [TCP Query User{B1C940D3-F767-493F-9771-09AB9F1BE996}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [UDP Query User{3652C82E-7B95-4955-B597-20398CD623BE}C:\games\world_of_tanks_ru\win64\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ru\win64\worldoftanks.exe => Нет файла
FirewallRules: [{FA4BEDE3-6E74-44F7-904D-969B674F9627}] => (Allow) C:\Users\Rabbit\AppData\Local\Programs\Opera\78.0.4093.112\opera.exe => Нет файла
FirewallRules: [{4B446716-FCFA-480C-9A97-7B235F4A1480}] => (Allow) C:\Windows\ehome\MsMediaCenter\wmserver.exe => Нет файла
FirewallRules: [{FF9FBD09-6A42-4EF0-9F44-34684378E140}] => (Allow) LPort=3389
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
C:\Windows\Logs\scrcons.cmd
C:\Windows\Logs\wbemtest.cmd
C:\Windows\Logs\wbemtest.vbs
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • Dmitry2811
      [РЕШЕНО] trojanstarter,keysender, Трояны, майнеры, нацеплял за много лет
      Автор Dmitry2811
      сегодня играл в игру и обратил внимание, что в целом комп стал совсем слабо тянуть по производительности, потыкался в диспетчере задач с ЦП, все стало норм, обратил внимание что снова появились просадки, когда открывал диспетчер то все было ок, дальше самое интересное)))
      я начал изучать подробности и процессы и диспетчер сам начал закрываться, я сразу же полез в браузер качать антивирусы и все такое прочее, как вдруг браузер резко начал сам выключаться)) с командной строкой и диспетчером задач то же самое, после перезагрузки еле как успел врубить безопасный режим, скачал cureit, нашло 28 пунктов, далее будут на фото, сори что в таком качестве, я не знаю правильно сделал или нет что удалил их, но на нервяке был сильном, через AV block remover прогнал, удалил пользователя John, потом на второй раз прошел cureit, нашло одного трояна, и второй раз шлифанул через AVBR, через скрытый файл hosts вернул доступ к сайтам, прошу прощения что так расписал, но на таком нервяке сейчас…помогите пожалуйста, добить этот треш
       
    • babytati
      tool.btcmine.2714
      Автор babytati
      Здравствуйте, в последнее время начал замечать странную работу компьютера в разных играх (незначительные просадки fps, странные баги, частые фризы). Проверил компьютер через DrWeb - было обнаружено "10 угроз" одной из которых являлся тот самый файл tool.btcmine.2714. Я решил в том же самом DrWeb обезвредить все вредоносные файлы, которые нашла программа (я уже понял, что скорее всего это никак не помогло).После того, как антивирус закончил свою работу, я решил проверить, не исчезла ли проблема. Не исчезла - в играх всё те же баги, внезапные просадки и зависания, хотя в диспетчере задач явных признаков переработки процессора и видеокарты не было. Наткнулся на информацию, что "tool.btcmine.2714" в принципе CureIt не может удалить (хотя при последующих проверках через CureIt никаких вредоносных файлов обнаружено не было).  Вдобавок ко всему этому, не могу проверить компьютер через другие антивирусы (тот же самый RogueKiller), установка просто блокируется. Помогите пожалуйста разобраться в проблеме.
       
×
×
  • Создать...