Приветствую, словил майнер по названием: tool.btcmine.2782

[safety]

Если SM работал недавно, можно попробовать откатить систему на момент, когда есть точка восстановления, и не было вирусного заражения.

[Антон321]

Есть точка восстановления после которой безопасный работал! Но вирус уже был на компе часов как 12

Делать восстановление?

 

Делать?

[Sandor]

Да, делайте.

[Антон321]

Не заходит в безопасный режим

 

непонятно что делать!

 

А как сделать загрузочную флешку 11 винды?? может сделать и попробовать с неё востановить?? или нет разницы?

[Антон321]

Вообще проявление вируса не вижу уже второй день, его как то заблочили или что?? и вообще как то можно вернуть полную работоспособность Винды ( Касперский не устанавливается, и  не входит в безопасный режим)

[safety]

Поработайте некоторое время,

если вирусные проблемы обнаружатся, напишите в данной теме.

 

Если необходимо будет восстановление безопасного режима, или установка антивируса, напишите в раздел Компьютерной помощи,

[Sandor]

11 часов назад, Антон321 сказал:

Касперский не устанавливается

Появляется какая-то ошибка?

[Антон321]

Не запускается и всё, не ни ошибки ни чего!

Как скачивается с сайта, сразу проходит типо установки, на рабочем столе появляется иконка. Нажимаешь и ничего не происходит. 

[safety]

26 минут назад, Антон321 сказал:

Как скачивается с сайта, сразу проходит типо установки, на рабочем столе появляется иконка. Нажимаешь и ничего не происходит. 

Там же остались записи с блокировкой запуска Касперского, которые мы не смогли удалить из  нормального режима.

Цитата

O26 - Debugger (Stack Rumbling): HKLM\..\avp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avpui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\kldw.exe: [MinimumStackCommitInBytes] = 0x41888887

 

А в безопасный не смогли войти. А из точки восстановления не смогли восстановиться. Придется, подождать некоторое время пока функция очистки ключей будет реализована в новой версии uVS, и тогда можно будет или с нормального режима очиститься, или из под winpe.

Изменено 26 марта пользователем safety

[safety]

Скачайте обновленную версию uVS, далее, продолжаем с ней работать.

 

нужен новый образ автозапуска для анализа остаточных проблем.

 

Если уже забыли как его создать, дублирую здесь инструкцию:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip),

распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено 29 марта пользователем safety

[Антон321]

Добрый день!!

DESKTOP-BO1D3TG_2025-03-29_13-21-21_v4.99.11v x64.7z

[safety]

да, теперь видим эти строки:

Quote

(!) Найдено значение Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe\MinimumStackCommitInBytes: 0x41888887 [большое значение может блокировать запуск процесса]

 

Выполним очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.11v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HOME\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
regt 35
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\EQUALIZERAPO\CONFIG\PEACESETUP.EXE
addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7

chklst
delvir

apply

deltmp
delref %Sys32%\DRIVERS\SRV.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.83\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref �\[CLSID]
delref %SystemDrive%\PROGRAM FILES\EQUALIZERAPO\CONFIG\PEACE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте новые логи FRST для контроля очистки.

Изменено 29 марта пользователем safety

[Антон321]

2025-03-29_14-46-41_log.txt

 

Addition.txt FRST.txt

[safety]

жестко ключ защищен, недостает прав, даже от Администратора зачистить этот ключ.

 

Quote

regt 35
--------------------------------------------------------------------------------------------------
Очистка ключей Image File Execution Options
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avpui.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kldw.exe
(!) Не удалось удалить значение в ключе реестра [Error: 0x5 - Отказано в доступе. ]

 

остается вариант очистки только с использованием загрузочного диска.

Система у вас рабочая, пробуйте создать загрузочную флэшку.

 

Образ загрузочного диска iso можно скачать отсюда.

Изменено 29 марта пользователем safety

[Антон321]

как сделать загрузочную флешку с видой 11?э