Неизвестный вирус

13 часов назад

Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.

При этом вирус как я понимаю дает пользоваться портами без проблем.
Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?

Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.

Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?

Изменено 12 часов назад пользователем Nickz1337

11 часов назад

Здравствуйте.

Если Вы внимательно читали тему, на которую ссылаетесь, то в ней написано

Цитата

Нужное по правилам можно скачать с телефона и перенести на компьютер.

3 часа назад

Добрался до дома.
При открытии папки корневой папки Autologger вирус моментально ее закрывает.
Отправил папку в диск C
UPD: получилось пCollectionLog-2026.01.22-17.01.zipперехитрить

Сразу же сделал следующий пункт из той же темы:
AV_block_remove_2026.01.22-17.18.log CollectionLog-2026.01.22-17.26.zip

CollectionLog-2026.01.22-17.01.zip

Проверка Farbar recovery tool:

Addition.rar

Изменено 3 часа назад пользователем Nickz1337

2 часа назад

Дождитесь ответа коллеги. А у меня попутно вопрос: заражение началось после скачивания и запуска некоего активатора? Если помните точно и есть ссылка, по которой качали, отправьте её, пожалуйста мне личным сообщением.

2 часа назад

Добрый вечер! По ошибке нажал на фишинг ссылку при скачивании torrent файла, далее установил папку, по структуре setup.exe, и 6 файлов - образов.
По своей тупости открыл ехе.шник, так сложилось, что на этом ноутбуке(устройство не мое), все ехе.шники имеют битый шрифт, из за чего я до последнего думал, что качаю нужный мне файл(даже по размерам почти совпадал)
Ну и да, после установки появился "лишний" файл на рабочем столе, по "юности" сразу понял, что сделал фигню, ну и обнаружилось, что скачанный cureit! не работает
Такой вот идиотизм...
К сожалению, не могу вам отправить сообщение, видимо из-за того, что новый аккаунт. Но и ссылка уже потерлась, в истории браузера ее нет, а торрент я удалил, когда пытался самостоятельно решить проблему при обнаружении.
(если нужно могу отправить фото структуры папки с вирусным ехе.)

Изменено 2 часа назад пользователем Nickz1337

1 час назад

16 минут назад, Nickz1337 сказал:

Но и ссылка уже потерлась

Ну ладно, не страшно. Фото не нужно.

1 час назад

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26-32 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\0109
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-399477873-1250573870-3794444708-1003\...\MountPoints2: {3356a0d4-e679-11f0-8ac4-8cc84bc747aa} - "D:\CdAutoRun.exe" 
HKU\S-1-5-21-399477873-1250573870-3794444708-1003\...\MountPoints2: {fcbeaade-a344-11ef-8a81-897a20f57c89} - "E:\autorun.exe" 
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-399477873-1250573870-3794444708-1003] => hxxp://127.0.0.1:10809
2026-01-22 01:26 - 2026-01-22 01:26 - 000000000 ___SH C:\ProgramData\tg.txt
ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} =>  -> Нет файла
C:\Users\leevereet\Desktop\Papotka\Игры по сети.lnk
C:\Users\leevereet\Desktop\Papotka\Торрент  Игруха.lnk
C:\Users\leevereet\AppData\Roaming\Microsoft\Word\Задание%202%20Слуквенко312099183326441407\Задание%202%20Слуквенко.docx.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\ВарТандер.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Майнкрафт.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Мир Танков.lnk
C:\Users\leevereet\AppData\Local\Programs\vpset\Яндекс.Игры.lnk
FirewallRules: [{57CE1FD2-4675-431B-B0C9-1FDDEE87088C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{DD4B173A-6C70-456A-9787-77A7EFF66644}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{2C1CBDAD-7AD5-4AB6-8371-BE5D0631AC5D}C:\game\fallguys\fallguys_client_game.exe] => (Allow) C:\game\fallguys\fallguys_client_game.exe => Нет файла
FirewallRules: [UDP Query User{1067089D-DE7E-432C-92A6-8C7D1D23AD5D}C:\game\fallguys\fallguys_client_game.exe] => (Allow) C:\game\fallguys\fallguys_client_game.exe => Нет файла
FirewallRules: [{3967003A-71D0-4702-AAC0-7BDC3438D16F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fall Guys\FallGuysEACLauncher.exe => Нет файла
FirewallRules: [{E94EF538-0B42-4277-8227-031368E69F3B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Fall Guys\FallGuysEACLauncher.exe => Нет файла
FirewallRules: [TCP Query User{8C4267E2-F408-4D9A-A7F3-D5F70725020D}C:\users\leevereet\appdata\local\temp\assistant\assistant.exe] => (Allow) C:\users\leevereet\appdata\local\temp\assistant\assistant.exe => Нет файла
FirewallRules: [UDP Query User{6B96B9D1-20CF-4C2B-924D-57A4FE526B7A}C:\users\leevereet\appdata\local\temp\assistant\assistant.exe] => (Allow) C:\users\leevereet\appdata\local\temp\assistant\assistant.exe => Нет файла
FirewallRules: [TCP Query User{0C30CD77-FAB4-4E53-8CF5-F23B3AC6A858}C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Block) C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{6EC3F213-E5A1-4235-ABC0-C3E88B56A167}C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe] => (Block) C:\game\only climb better together\onlyclimbtogether\binaries\win64\onlyclimbtogether-win64-shipping.exe => Нет файла
FirewallRules: [{E0F95F4B-9FAB-43F8-96E5-FC95111219C9}] => (Allow) C:\Users\leevereet\AppData\Local\Programs\Opera\101.0.4843.43\opera.exe => Нет файла
FirewallRules: [{689DC425-86F6-43D9-9E3D-433DDF6A8B13}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{A307206C-148E-425E-B020-2EB7EF2176EA}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [TCP Query User{D41508DC-E39F-444D-905A-0B25BF67E884}C:\game\payday2\payday2_win32_release.exe] => (Allow) C:\game\payday2\payday2_win32_release.exe => Нет файла
FirewallRules: [UDP Query User{07081451-8514-4AF8-A2B3-0AA99D46FD85}C:\game\payday2\payday2_win32_release.exe] => (Allow) C:\game\payday2\payday2_win32_release.exe => Нет файла
FirewallRules: [{2D677907-A91B-42AC-A0C6-7A16BE0FB81E}] => (Allow) C:\Users\0109\AppData\Local\Yandex\YandexBrowser\Application\browser.exe => Нет файла
FirewallRules: [TCP Query User{D02C782C-4994-4322-89BC-2102598797E6}C:\users\0109\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\0109\appdata\local\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [UDP Query User{6BAD8205-749D-49F4-A0AD-3970162930D8}C:\users\0109\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\0109\appdata\local\google\chrome\application\chrome.exe => Нет файла
FirewallRules: [TCP Query User{EB9BB796-F64F-444F-BD7A-8FF942C7FDC6}C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe] => (Block) C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe => Нет файла
FirewallRules: [UDP Query User{C1D8C640-A51F-4114-9044-8825551B7CEE}C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe] => (Block) C:\program files\jetbrains\phpstorm 2022.2\bin\phpstorm64.exe => Нет файла
FirewallRules: [TCP Query User{E604B169-37AC-4BB2-9804-0F55DA2C6D43}C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe] => (Block) C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe => Нет файла
FirewallRules: [UDP Query User{A68AB85E-53EA-4958-A3CF-7AA5A3A8A825}C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe] => (Block) C:\program files\common files\adobe\adobe desktop common\hex\creative cloud ui helper.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

1 час назад

Сделал.Fixlog.txt

UPD: маленькое уточнение, cureit! все еще не работает, ноутбук "долбится в соточку", судя по звуку, так и должно быть?

Изменено 1 час назад пользователем Nickz1337

18 минут назад

Активного майнера в логах нет уже после применения AVBR

Неизвестный вирус

Рекомендуемые сообщения

Nickz1337

thyrex

Nickz1337

Sandor

Nickz1337

Sandor

thyrex

Nickz1337

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum