[РЕШЕНО] Обнаружил мощный майнер на пк

[Sandor]

Понятно. Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

[Ezexec]

Addition.txtFRST.txt

[Sandor]

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [AllowClipboardHistory] 0
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [rsdisable] => dism.exe /online /set-reservedstoragestate /state:disabled (Нет файла)
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [rsdisable] => dism.exe /online /set-reservedstoragestate /state:disabled (Нет файла)
  IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
  IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {2F698131-64A9-4C46-A176-3DF4134ABF18} - System32\Tasks\RzUpdateEngineService => C:\Users\a6o6a\AppData\Local\PlaceholderTileLogoFolder\RzUpdateEngineService.exe  (Нет файла)
  FCheck: C:\WINDOWS\SysWOW64\version_IObitDel.dll [2023-12-17] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
  StartPowershell:
  Set-MpPreference -DisableAutoExclusions $true -Force
  Set-MpPreference -Mapsreporting basic -Force
  Set-MpPreference -DisableRealtimeMonitoring $false -Force
  Set-MpPreference -DisablePrivacyMode $true -Force
  Set-MpPreference -DisableIOAVProtection $false -Force
  Set-MpPreference -UILockdown 0
  Set-MpPreference -ScanPurgeItemsAfterDelay 3
  Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
  Set-MpPreference -PUAProtection enabled -Force
  Update-MpSignature
  Get-MpComputerStatus
  Get-MpPreference
  EndPowershell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ezexec]

Fixlog.txt

[Sandor]

Если по-прежнему не получается удалить исключения вручную, следующий скрипт выполните в безопасном режиме.

• Выделите следующий код:

  Start::
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:/"
  Remove-MpPreference -ExclusionPath "C:\Users\a6o6a"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Ezexec]

В исключении ничего не найдено 

Fixlog.txt

[Sandor]

Отлично! В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Ezexec]

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Malwarebytes version 5.3.1.188 v.5.3.1.188 Внимание! Скачать обновления
CrystalDiskInfo 9.5.0 v.9.5.0 Внимание! Скачать обновления
Geeks3D FurMark 1.34.0.0 v.1.34.0.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
WinRAR 6.24 (64-разрядная) v.6.24.0 Внимание! Скачать обновления
Discord v.1.0.9027 Внимание! Скачать обновления
Telegram Desktop v.5.15.2 Внимание! Скачать обновления
µTorrent v.3.6.0.47196 Внимание! Клиент сети P2P с рекламным модулем!
Dolphin Anty 2025.153.127 v.2025.153.127 Антидетект браузер.
Yandex v.25.4.3.890 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.137.0.7151.69 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".