Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

dr.web curelt обнаружил майнер, убрать не может. помогите, я вообще не разбираюсь. логи вроде прикрепила 

cureit.zip

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [iTunesHelper] => "D:\iTunesHelper.exe" (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {2FCA6712-3C10-4B72-B4E4-ED38F0A803CD} - System32\Tasks\Microsoft\Office\Office Actions Server => C:\Program Files\Microsoft Office\root\VFS\ProgramFilesCommonX64\Microsoft Shared\Office16\ActionsServer\ActionsServer.exe  availabilitycheck (Нет файла)
Task: {67420AE3-DDBC-450A-9968-512738A27FDD} - System32\Tasks\Microsoft\Office\Office Background Push Maintenance => C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonx64\Microsoft Shared\Office16\opushutil.exe  /pushregistration (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {144239BB-2770-401F-87FD-E9A196D5931F} - System32\Tasks\OneDrive Startup Task-S-1-5-21-2166388123-806219655-2215698058-1001 => C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe  /startInstances (Нет файла)
Task: {BFBA9031-E201-4BA6-8847-73CA4BBE7AE5} - System32\Tasks\Repairing Yandex Browser update service => C:\Program Files (x86)\Yandex\YandexBrowser\23.9.3.948\service_update.exe  --repair (Нет файла)
Task: {11F68C2C-4E40-4C86-B284-57C3F07F6A4C} - System32\Tasks\System update for Yandex Browser => C:\Program Files (x86)\Yandex\YandexBrowser\23.9.3.948\service_update.exe  --run-as-launcher (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-08-11] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-01-08] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [143360 2025-08-13] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-08-13] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181120 2025-08-13] (Microsoft Windows -> Корпорация Майкрософт)
S2 discordfix_zapret; cmd.exe /c "D:\дискорд\pre-configs\general (ALT2).bat" [X]
U5 3d4fd466a0;  <==== ВНИМАНИЕ: Заблокированная служба
C:\Windows\system32\Drivers\3d4fd466a0.sys
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{1F80F4F0-5D28-40D3-A252-4D3662D5E4BA}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{3A308EFE-656D-46BB-9963-0A41C0D6BCA2}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{544c4c52-de0b-4d14-9510-21745381d5ca}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{7AE67172-9863-42B1-8750-2B85084FD8E8}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{9BE266B4-A97C-486E-B993-EAEBAA798D69}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
CustomCLSID: HKU\S-1-5-21-2166388123-806219655-2215698058-1001_Classes\CLSID\{F37369D9-1C22-40A0-A997-0B4D5F7B6637}\localserver32 -> "C:\Users\BTS_A\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\FileCoAuth.exe" => Нет файла
Folder: C:\Windows\system32\config\systemprofile
Folder: C:\ProgramData
FirewallRules: [{A1CBBFCC-B303-40C2-9304-1400EE266B2C}] => (Allow) D:\iTunes.exe => Нет файла
FirewallRules: [TCP Query User{5BCD6908-0097-48C9-869D-7EB27BE079F3}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
FirewallRules: [UDP Query User{6D3EBAE7-8265-4ED2-80B3-635638D7AC07}C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe] => (Allow) C:\program files\windowsapps\freevpnplanet.planetvpn_2.10.46.0_x64__b2qrq2z57ppd2\bin\xray\xray.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Андрей007090
      Автор Андрей007090
      Помогите пожалуйста поймал шифровальщика 
      С и Д диски оба зашифрованы 
      С - переустановил 
      Д остался там все данные что нужны 
      Помогите  пожалуйста фото прикрепил 
       
      Что надо сделать что бы приложить суда коды ошибок или что именно зип архив ? 

    • HOUSEDause
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Antoney
      Автор Antoney
      Здравствуйте! Попал в руки ноутбук, в ходе профилактической проверки KVRT обнаружил много интересного, а именно - Trojan.Multi.KillAV.c и кучу Trojan.Win32.Miner.gen. Также присутствует учетная запись John.
       
      Часть попытался подчистить, затем скачал Farbar Recovery Scan Tool как советовали в соседней теме и запустил скан. Отчеты прикладываю. 
       
      Подскажите, пожалуйста, как дальше действовать, чтобы вычистить зловреда из системы?
      Addition.txt FRST.txt
    • Jonnoton
      Автор Jonnoton
      Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать.
       
      CollectionLog-2025.07.31-10.14.zip
    • Drozdovanton
      Автор Drozdovanton
      Помогите пожалуйста расшифровать данные, прикрепить данные не могу так как ограничение по расширению файлов
×
×
  • Создать...