Перейти к содержанию
Правила раздела

[РЕШЕНО] Майнер Xmrig

fara86

Автор fara86
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

fara86

fara86

Опубликовано
Опубликовано

 

Помогите удалить майнер. Похожая тема с данным трояном. 

 

 

image.thumb.png.8b9b85bf63cb4fed14ec7855cf492031.png

 

thyrex

thyrex

Опубликовано
Опубликовано

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Users\farap\AppData\Roaming\DriversUpdate\taskhostupdate.exe','');
 QuarantineFile('C:\Users\farap\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','');
 QuarantineFile('C:\Users\farap\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','');
 DeleteFile('C:\Users\farap\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64');
 DeleteFile('C:\Users\farap\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','64');
 DeleteFile('C:\Users\farap\AppData\Roaming\DriversUpdate\taskhostupdate.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification');
 DeleteSchedulerTask('Microsoft\Windows\UpdateOrchestrator\USO_UxBroker');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

fara86

fara86

Опубликовано
  • Автор
Опубликовано (изменено)

Quarantine.7z не появляется в папке с AVZ. Прикрепляю фото после 2ого скрипта.

 

 

Спойлер

image.thumb.png.017c58fe541739c32275e5afceaaea34.pngimage.thumb.png.af6da73f5d63dc2e6324825ce33ed3bc.pngimage.png

 

 

CollectionLog-2025.09.07-14.43.zip

Изменено пользователем fara86
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1428236795-757501098-2729361255-1001\...\MountPoints2: {c2d97161-880a-11f0-897d-001a7dda7110} - "E:\setup.EXE" /AUTORUN
2025-09-05 21:02 - 2025-09-07 14:29 - 000000000 __SHD C:\Users\farap\AppData\Roaming\DriversUpdate
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\farap\AppData\Roaming\DriversUpdate"
EndPowerShell:
FirewallRules: [TCP Query User{D0815A19-92C6-40E8-B61E-AD4DF7860387}C:\users\farap\appdata\local\programs\jginyuergb\openrgb\openrgb.exe] => (Allow) C:\users\farap\appdata\local\programs\jginyuergb\openrgb\openrgb.exe => Нет файла
FirewallRules: [UDP Query User{943F8706-8619-4D8E-BE56-5E4750ADE777}C:\users\farap\appdata\local\programs\jginyuergb\openrgb\openrgb.exe] => (Allow) C:\users\farap\appdata\local\programs\jginyuergb\openrgb\openrgb.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Discord v.1.0.9174 Внимание! Скачать обновления
Google Chrome v.139.0.7258.155 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^


---------------------------- [ UnwantedApps ] -----------------------------
UTorrent Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • userHeLmW
      Майнер грузит видеокарту
      Автор userHeLmW
      Решил установить и активировать MS Office и после этого (спустя несколько дней) видеокарта стала грузиться на 100%
      CollectionLog-2026.03.10-16.24.zip
    • LevaAttacker
      [РЕШЕНО] Вирусы
      Автор LevaAttacker
      Здравствуйте! Недавно ставил чистую винду с форматированием дисков, и каким-то образом появились майнеры, и удалить их никак не могу, Также, когда пытаюсь открыть regedit, он сразу же закрывается.

    • enigmaticblade
      [РЕШЕНО] WinServiceNetworking загружает gpu на 100%
      Автор enigmaticblade
      Просканироал KVR, нашел WinServiceNetworking, произвел лечение с удалением, папка наместе. Загрузка гпу так же высокая судя по MSIAfterburner. Отчет логов собирал после работы KVRT


      CollectionLog-2026.03.09-12.15.zip Reports.zip
    • n1ke374
      После удаления майнера осталась служба с названием BITS_bkp.
      Автор n1ke374
      Здраствуйте, аналагичная ситуация произашла, как мне востоновить службы обновления Windows 
      SecurityCheck.txt
       
      Сообщение от модератора thyrex Перенесено из темы
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...