Перейти к содержанию
Правила раздела

Буткит, Майнер, Ратник в одном флаконе

49advan

Автор 49advan
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

49advan

49advan

Опубликовано
Опубликовано

Заражался раньше майнером и раткой в одном флаконе, после переустановки винды он типо удалился но мне кажется что там все ещё есть часть от ратника или даже ещё там keylogger ведь кто то все время заходит ко мне в Стим хотя я не вводил нигде свои данные Стима. Каждые 2 недели заходят на акк без Steam Guard и без Email 3 чела с Питера. Есть Native Shell (нативный режим NT до запуска Win32, обычно все вирусы работают на Win32), могу записать LiveCD, Kaspersky Rescue Disk не работает, Dr. Web LiveCD тоже. Но установщик убунту прекрасно запускается.

49advan

49advan

Опубликовано
  • Автор
Опубликовано (изменено)

Да и ещё к тому же если зайти в историю посещения в Appdata то проводник сразу перезапускается. Был ещё любимый наш John. При открытии сайтов антивирусных до удаления либо закрывался браузер либо открывался сайт google и писал что то типо такого.

347387684773724.jpeg

Изменено пользователем 49advan
Sandor

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

49advan

49advan

Опубликовано
  • Автор
Опубликовано
4 часа назад, Sandor сказал:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

у меня frst не работает, уходит в цикличный перезапуск, пишет что нашел обновление

 

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

49advan

49advan

Опубликовано
  • Автор
Опубликовано
17 часов назад, Sandor сказал:

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

Ведёт нормально, порой зависает, отвисает только после отключения и включения звуковой карты. Радмин сам ставил, потом забил и просто открыл порты (27015, 25565 и 3389 вроде).

Sandor

Sandor

Опубликовано
Опубликовано
22 часа назад, Sandor сказал:

Пожалуйста, не цитируйте полностью предыдущее сообщение

Не заметили?

 

4 часа назад, 49advan сказал:

просто открыл порты (27015, 25565 и 3389 вроде)

Всё равно, что открыть дверь и крупными буквами написать - ЗАХОДИТЕ!

 

4 часа назад, 49advan сказал:

отвисает только после отключения и включения звуковой карты.

Пробуйте переустановить драйвер звуковой платы. Впрочем, об этом лучше посоветоваться в соседнем разделе.

 

По нашей части больше ничего плохого не видно.

Соберите такой отчёт:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
49advan

49advan

Опубликовано
  • Автор
Опубликовано

А как мне на время отключить прослушивание портов с компа? Просто с роутера не хочется отрубать, порой нужен этот порт (27015), ост. закрою 

Sandor

Sandor

Опубликовано
Опубликовано
8 часов назад, Sandor сказал:

об этом лучше посоветоваться в соседнем разделе.

Создайте там тему и ссылку на текущую там укажите.

 

 

49advan

49advan

Опубликовано
  • Автор
Опубликовано
В 19.05.2025 в 18:46, Sandor сказал:

Создайте там тему и ссылку на текущую там укажите.

 

 

Sandor, вы тут?

Sandor

Sandor

Опубликовано
Опубликовано

Да. По логу - только устаревшая система:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Grantjordy
      Обращение dwm.exe к https://pastebin.com/raw
      Автор Grantjordy
      Здравствуйте.
      Включил компьютер и антивирус сообщил об остановке перехода файла dwm.exe на pastebin.com/raw.
      Выдаёт следующий текст:
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-DVDF6U0\Pechka
      Тип пользователя: Инициатор
      Имя приложения: dwm.exe
      Путь к приложению: C:\Windows\System32
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://pastebin.com/raw/Gsr7EpV2?t=1769098300
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: Gsr7EpV2?t=1769098300
      Путь к объекту: https://pastebin.com/raw
      Причина: Облачная защита
      Прикладываю логи с AutoLogger.
      Также дополнительно прикладываю образ автозапуска системы, сделанного с помощью uVS.
      CollectionLog-2026.01.22-20.50.zip DESKTOP-DVDF6U0_2026-01-22_20-41-06_v5.0.3v x64.7z
    • Kivitosik
      Подозрение на майнер, при открытии диспечера задач он закрывается
      Автор Kivitosik
      Пока диспечер задач закрыт, гп используется на 0% (смотрю через AMDSoftware). Как только закрываю диспечер, гп зпгружается на 100%. Прикрепил скрины до и после открытия диспечера задач

    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • Quester1337
      Подозрение на вирус(ратник или стиллер)
      Автор Quester1337
      После скачки файла из интернета с проверенного ресурса было много срабатываний антивируса, однако я разрешил софту работать, вроде бы ничего странного не случалось, теперь я его удалил и хотел бы удостовериться, что его не осталось, т.к. в дз видел процесс повершелл который грузит цп(17-30%). Логи прилагаю.
      CollectionLog-2026.01.16-15.50.zip
    • pro100danya
      Угроза DPC:PowerShell.AVKill.10
      Автор pro100danya
      перестал работать запрет ,скачал фикс с ютуба после перезапуска пк удалился хром,скачал dr web и
      постоянно поврежденны файлы hosts и Chromiumconfig и недавно 200+ раз др веб отклонил DPC:PowerShell.AVKill.10
      я решил закинуть в вирус тотал ехешник и там было куча вирусов.
      пожалуйста помогите мне удалить вирус я не понимаю как его удалить но dr web постоянно детектит все его действия но АВ мне надо выключить для установки различных программ но я боюсь за свой пк
      также не хочу просто чтоб у меня был вирус на пк
×
×
  • Создать...