Перейти к содержанию
Правила раздела

Помогите избавиться от майнера

Namido

Автор Namido
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Namido

Namido

Опубликовано
Опубликовано

Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

image.png

CollectionLog-2025.04.20-20.12.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1 час назад, Namido сказал:

увидела в логе строку"проверка пользователя John"

Но ведь в следующей строке написано "Угроз не найдено".

 

В логах пока нет ничего вирусоподобного. Посмотрим ещё так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Namido

Namido

Опубликовано
  • Автор
Опубликовано
23 минуты назад, Sandor сказал:

Здравствуйте!

 

Но ведь в следующей строке написано "Угроз не найдено".

 

В логах пока нет ничего вирусоподобного. Посмотрим ещё так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

я об этом и говорю, что угроз не находит..(

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Раз не находит, значит и угроз нет :)

 

Сделаем всё же некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=834424","hxxp://rusearch.co"
C:\Users\diano\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKU\S-1-5-21-3268177055-1694432682-1836497517-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
AV: Reason Cybersecurity (Enabled - Up to date) {ED4D1201-4876-7014-6F49-4BC9DA784B64}
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [152]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Namido

Namido

Опубликовано
  • Автор
Опубликовано
8 минут назад, Sandor сказал:

Раз не находит, значит и угроз нет :)

 

Сделаем всё же некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=openpart","hxxp://mail.ru/cnt/10445?gp=812204","hxxp://mail.ru/cnt/10445?gp=834424","hxxp://rusearch.co"
C:\Users\diano\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh
CHR HKU\S-1-5-21-3268177055-1694432682-1836497517-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
AV: Reason Cybersecurity (Enabled - Up to date) {ED4D1201-4876-7014-6F49-4BC9DA784B64}
AlternateDataStreams: C:\ProgramData\TEMP:CB0AACC9 [152]
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Antoney
      Помогите, пожалуйста, подчистить за майнером John
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • Smorodina
      Словил вирус - URLLINK:MALWARE.URL - помогите избавиться
      Автор Smorodina
      сканировал drweb cureit- обнаружил - вылечить не смог.
      помогите пож-та решить проблему: комп жестко тормозит - вентиллятор охлаждения крутится постоянно
       

    • w0r9en
      помогите с майнером Tool.BtcMine.2714
      Автор w0r9en
      Добрый день! Нашел и обезвредил с помощь cureit, потом сделал лог CollectionLog-2025.07.13-15.39.zip
    • Yann
      [РЕШЕНО] Проблема с майнером
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
×
×
  • Создать...