Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Появился майнер

Polina52

Автор Polina52
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Polina52 Новичок

Polina52

Опубликовано
Опубликовано

Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
Логи прилагаю

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Начните со стандартных логов по правилам - Порядок оформления запроса о помощи

Новую тему не создавайте, продолжайте здесь.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O22 - Tasks: \Microsoft\Windows\CheckGlobalP\RecoveryHosts - C:\ProgramData\Microsoft\DRM\afkTT1M\CheckGlobalP.bat (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер.

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{639A4120-615C-4EC3-AB30-2D2B835E07F2}] => (Allow) D:\EmbroideryStudio_e4.2\BIN\ES.EXE => Нет файла
FirewallRules: [{E0F1F802-D2A8-4D60-B20F-1960DE06094C}] => (Allow) LPort=8501
FirewallRules: [{65B68A9C-7A89-4893-9229-BD546532D7BF}] => (Allow) LPort=8501
FirewallRules: [{C29E860D-BA27-4A25-B3E2-BF0F19CEAC91}] => (Allow) D:\EmbroideryStudio_e4.2\BIN\ES.EXE => Нет файла
FirewallRules: [{F1B690F1-68A2-4C7C-B1CD-E2DA0DE51564}] => (Allow) D:\EmbroideryStudio_e4.2\BIN\ES.EXE => Нет файла
FirewallRules: [{0F7A2AB4-C880-44E1-AD70-0784D33424DB}] => (Allow) D:\EmbroideryStudio_e4.2\BIN\ES.EXE => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Ещё один небольшой скрипт выполните.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\user"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

На системном диске слишком мало свободного места:

Цитата

(Total:183.86 GB) (Free:7.06 GB)

Постарайтесь освободить хотя бы до 35.

 

Что из проблем ещё осталось?

Ссылка на комментарий
Поделиться на другие сайты
Polina52 Новичок

Polina52

Опубликовано
  • Автор
Опубликовано

Добрый день! благодарю за помощь! 
Если сканирую систему программой MinerSearch_v1.4.7.81 он все равно сканирует пользователя john, что это может быть?
Отчет прикладываю

MinerSearch_11.04.2025_11-13-09.log

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В отчёте написано:

Цитата

        Проверка пользователя John...
[11.04.2025 11:13:37]:     [#] Угроз не найдено

Один из характерных признаков этого майнера - наличие скрытого пользователя с таким именем.

Теперь в вашей системе такого пользователя нет.

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Microsoft Office Professional Plus 2021 - en-us v.16.0.17231.20236 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office профессиональный плюс 2021 - ru-ru v.16.0.17231.20236 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Ghostscript GPL 10.03.1 (Msi Setup) v.10.03.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
AnyDesk v.ad 8.0.9 Внимание! Скачать обновления
Microsoft OneDrive v.25.046.0310.0005 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
µTorrent v.3.6.0.47142 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.4.0 Внимание! Клиент сети P2P с рекламным модулем!.
Adobe Acrobat DC (64-bit) v.22.001.20085 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Yandex v.24.1.2.843 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mistory_Young
      появился скрытый майнер
      Автор Mistory_Young
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
      CollectionLog-2025.01.18-04.00.zip
    • Полислава
      Майнер в Kaspersky
      Автор Полислава
      Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
      Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
      Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
      Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
      Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

       
      Search.txt
      Так же прикрепляю результаты сканирования FarBar
      FRST.txt
    • Nesquik
      Подозрение на майнер
      Автор Nesquik
      Заметил что появились частые зависания, когда несколько дней назад все было идеально При перезагрузке компьютера появляются командные строки на 1 секунду Антивирус kaspersky ничего не нашел
    • WhyI
      Появился вирус на пк
      Автор WhyI
      начались микрофризы на пк.
      секунды по 1,5 каждые 15
      др веб дал HOSTS:SUSPICIOUS.URL и троян
      троян очистился, а это нет
      перерыл весь интернет, ничего не помогает
       
    • wastezxc
      [РЕШЕНО] Словил майнер
      Автор wastezxc
      Видимо словил майнер, некоторые приложения при запуске сразу закрываются
       
      CollectionLog-2025.04.04-17.45.zip
×
×
  • Создать...