Перейти к содержанию
Правила раздела

вирус updater.exe(XMRig miner)

loner1n

Автор loner1n
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

loner1n

loner1n

Опубликовано
Опубликовано (изменено)

вот этого жука увидел у себя в диспетчере задач, делал проверку с Kaspersky Virus Removal Tool и Dr.Web Cureit. При удалении через касперского показывало что что то удалило, а после перезагрузки заново находило его же

image.png

FRST.txt

Изменено пользователем loner1n
Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано
Только что, loner1n сказал:

изменил

Прочтите по ссылке во втором сообщении темы, что от вас требуется сделать и выложить.

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\Ardor\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe');
 QuarantineFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','');
 TerminateProcessByName('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\updater.exe','32');
 DeleteFile('c:\users\ardor\appdata\local\microsoft\edge\system\update.exe','32');
 DeleteFile('c:\users\ardor\appdata\roaming\driversupdate\runtimebroker.exe','32');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано
22 минуты назад, thyrex сказал:

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ждем

loner1n

loner1n

Опубликовано
  • Автор
Опубликовано

сейчас сделал проверку в касперском, выдало уже не 3 вируса, а 2. пропал 1 троян но второй остался, а главное остался майнер

 

image.png

thyrex

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
  DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
ExecuteSysClean;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Two2Face
      Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Xqretu
      [РЕШЕНО] Вирусы удалены, BITS_bkp и Dosvc_bkp остались
      Автор Xqretu
      Примерно неделю назад проверял ПК вирусы. Все удалил, по итогу Центр обновления Windows и microsoft store всё время выдавали ошибку в скачивании, зашёл в реестр и увидел что остались файлы bits_bkp и dosvc_bkp, пытался удалить, не получилось.
    • Эхехех
      Самосрабатывание клавиш (Scroll Lock, F12, PrtScrn и др.)
      Автор Эхехех
      Здравствуйте!

      Периодически самопроизвольно срабатывают клавиши, открывается панель элементов (F12 в Мазиле), делаются скриншоты. Kaspersky Virus Removal Tool, Dr.Web CureIt ничего не обнаружили. Проблема возникла после установки на комп какой-то порно игры (журнал браузера и история загрузок почищены, потому откуда скачана неизвестно).
       
      Ребята, никогда не доверяйте свой ПК подросткам без присмотра
       

      CollectionLog-2025.12.28-20.58.zip
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
×
×
  • Создать...