Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Помогите удалить майнер

Андрей Востоков

Автор Андрей Востоков
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей Востоков

Андрей Востоков

Опубликовано
Опубликовано

Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 

CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

В безопасном режиме (важно!) выполните следующее:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\winaijservice\winaijservice.exe');
 QuarantineFile('c:\programdata\winaijservice\winaijservice.exe', '');
 DeleteFile('c:\programdata\winaijservice\winaijservice.exe', '');
 DeleteFile('C:\ProgramData\WinAIJService\WinAIJService.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Win AIJ Service', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки (остальное продолжаем в нормальном режиме), выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Андрей Востоков

Андрей Востоков

Опубликовано
  • Автор
Опубликовано

Выдает ошибку в коде: Too many actual patametres в позиции 8:16

Sandor

Sandor

Опубликовано
Опубликовано

Читайте инструкции, AVZ следует запускать из папки Автологера, т.е. эту:

Цитата

C:\Program1\AutoLogger\AV\av_z.exe

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
CreateRestorePoint:
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [3396]
AlternateDataStreams: C:\Users\Андрей\Downloads\9qvtcq7f.exe:MBAM.Zone.Identifier [408]
AlternateDataStreams: C:\Users\Андрей\Downloads\anvirrus.exe:MBAM.Zone.Identifier [242]
AlternateDataStreams: C:\Users\Андрей\Downloads\ccsetup_online_setup.exe:MBAM.Zone.Identifier [338]
AlternateDataStreams: C:\Users\Андрей\Downloads\FRST64.exe:MBAM.Zone.Identifier [406]
FirewallRules: [{3039775D-A3A6-4FD4-B2C1-EB27DDDAD367}] => (Allow) C:\Users\Андрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{7BAB4C6D-32F5-4271-8779-AAC62B3B4735}] => (Allow) C:\Users\Андрей\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{BDFD9ECC-DDD1-4A79-92F9-20EDA80DBCA6}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\cod22\cod22-cod.exe => Нет файла
FirewallRules: [{28D076D1-58FF-439A-B588-C9CBA29892A4}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\cod22\codCrashHandler.exe => Нет файла
FirewallRules: [{690A0A3A-FCF8-4BFB-A2D6-8F8CD70E8DE0}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\cod23\cod23-cod.exe => Нет файла
FirewallRules: [{D22151EF-7337-4F67-B7D6-7378DFF389F1}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\cod23\codCrashHandler.exe => Нет файла
FirewallRules: [{AA18ECBA-FC95-4076-A04C-CF530C2D5C75}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\bootstrapper.exe => Нет файла
FirewallRules: [{4BE6BF51-8074-4044-8983-1C5905C1F550}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\bootstrapperCrashHandler.exe => Нет файла
FirewallRules: [{A1F6A96A-8B08-4F31-B6B8-BD9FA262B637}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\codCrashHandler.exe => Нет файла
FirewallRules: [{4E9746F2-8818-44F6-9307-D27BBEEC1445}] => (Allow) C:\Program Files (x86)\Call of Duty\_retail_\cod.exe => Нет файла
FirewallRules: [{639bd733-1251-4f21-9ef6-b74e6a9f7b7e}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{287348c2-4d9e-4211-89a4-72b97ae726b0}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{e2c6350e-b384-42e8-9444-716308f276a4}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
FirewallRules: [{2fefd6ba-1323-4d1f-b1c1-f105f95d0e32}] => (Allow) C:\ProgramData\WinAIJService\WinAIJService.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Скрипт отработал успешно. Попутно

Спойлер

EmptyTemp: => 41.9 GB временные данные Удалены

 

Сделайте контрольную проверку с помощью Malwarebytes.

Андрей Востоков

Андрей Востоков

Опубликовано
  • Автор
Опубликовано

Да, майнер удалось победить, огромное спасибо! Но при перезагрузке malwerbytes выдает трояны image.thumb.png.f4678df994d4fc833aab7c5f0b8ebae5.png

image.thumb.png.1da331dbd38bbf36bf962451f6cb3151.png

Sandor

Sandor

Опубликовано
Опубликовано

Предположу, что это работа активатора системы.

Попробуйте сохранить результат обнаружения в текстовый файл и (если получится) прикрепите к следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Сайт как минимум подозрительный.

 

Проверьте личные сообщения.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

AIDA64 Extreme v7.50 v.7.50 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Discord v.1.0.9174 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
Opera GX Stable 126.0.5750.56 v.126.0.5750.56 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Атака FROST: слежка за пользователем при помощи SSD
      Автор KL FC Bot
      Ученые из Грацского технического университета в Австрии опубликовали научную работу, в которой предложили достаточно эффективный метод слежки за пользователем через браузер. Самой интересной особенностью их метода, получившего название FROST, является использование в качестве механизма слежки твердотельного накопителя (SSD). Если не вдаваться в технические детали, предложенная исследователями атака выглядит следующим образом. Злоумышленник заманивает жертву на подготовленный веб-сайт. Пока этот сайт остается открытым, организатор атаки может видеть, какие программы запускает пользователь и какие веб-страницы открывает.
      Как такое вообще возможно? Первым подозреваемым, разумеется, будет браузер. В современных браузерах каждый веб-сайт открывается в изолированном контейнере и, как правило, не имеет доступа ни к соседним вкладкам, ни тем более к ресурсам компьютера. Из этого «правила» регулярно находятся исключения, но сейчас речь не о них. Атака FROST предполагает, что браузер работает стандартно, со всеми мерами безопасности. Используется штатная функция браузеров, имеющая название Origin Private File System. Она предоставляет сайту собственную виртуальную файловую систему для хранения данных. Хотя она и изолирована, но записываются эти данные в итоге на тот же SSD, с которым также работают прочие программы и веб-сайты. Оказалось, что если вредоносная страница постоянно обращается к SSD, по задержкам при доступе к данным можно определить, что еще происходит на ПК. Прежде чем перейти к более подробному изучению метода, сделаем небольшое теоретическое отступление.
      Немного об атаках по сторонним каналам
      Термин «сторонние каналы» предполагает наблюдение за работой компьютера (или даже отдельной микросхемы) неявным образом. Вместо того чтобы перехватывать обмен информацией напрямую, можно анализировать, как меняется энергопотребление электрической схемы, температура отдельных элементов, наблюдать за электромагнитным излучением и так далее. В результате появляется теоретическая возможность подслушивать переговоры в помещении с использованием компьютерной мыши — вибрации от звука могут быть зафиксированы оптическим датчиком. Наблюдая за изменением частоты процессора, можно похитить ключ шифрования. Простой светодиод на считывателе пропусков может выдать достаточно данных о работе устройства, чтобы атакующий мог сделать копию смарт-карты.
      Преимущество таких неявных каналов утечки данных заключается именно в том, что они неявные — создатели устройств часто не учитывают их при построении систем защиты. Недостаток также очевиден: извлечение информации через механизм, который вообще-то для этого не предназначен, часто бывает сложным, медленным и трудоемким. Австрийские исследователи работали с подвидом стороннего канала, известным как contention side channel, — то есть утечка возникает в условиях конкуренции за определенный ресурс. И в данном случае борьба происходит за пропускную способность накопителя информации.
       
      View the full article
    • KL FC Bot
      Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского
      Автор KL FC Bot
      В апреле 2026 года мы обнаружили новую кампанию, нацеленную на любителей хентай-игр. Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal. Он умеет красть файлы и личные данные, дистанционно управлять компьютером и маскировать свое присутствие на устройстве.
      Рассказываем, как не стать жертвой нового трояна — и как безопасно и максимально анонимно смотреть пикантный контент с аниме-девочками (или без).
      Как происходит заражение Argamal
      Большинство зараженных игр распространяют через сайты с каталогами пикантных игр, а также через торрент-трекеры. Иногда пользователи скачивали архивы с файлообменников, на которые вели ссылки с игровых сайтов.
      Пример размещения троянизированной игры на торрент-трекере AniRena
       
      View the full article
    • KL FC Bot
      Как отключить ИИ-системы в компании и заблокировать доступ к ним
      Автор KL FC Bot
      Неконтролируемый ИИ в корпоративной среде — это быстро растущий канал утечки данных и других инцидентов ИБ. Зачастую сотрудники используют внешние чат-боты для работы с конфиденциальной корпоративной информацией или самовольно устанавливают автономные ИИ-агенты, выдавая им лишние права. Мы уже рассматривали классификацию нежелательных ИИ-систем в одной из предыдущих статей, а также давали советы по отключению ИИ, встроенного в крупные платформы. В этом посте мы переходим к конкретике: разбираем, как отключить или ограничить несанкционируемое использование популярных «помощников» от ChatGPT до Grammarly и тому подобных решений.
      Как выявить и ограничить использование ChatGPT
      Это самый крупный (в мировом масштабе) способ несанкционированного использования ИИ, но стоит учитывать, что его блокировка приводит лишь к тому, что пользователи начинают искать сомнительные сайты или чат-боты в мессенджерах, дающие доступ к тому же сервису. Поэтому крайне желательно все же перед блокировкой предоставлять санкционированную альтернативу.
      Детектирование: анализ на NGFW или веб-фильтре трафика к chat.openai.com, chatgpt.com, oaistatic.com, oaiusercontent.com, cdn.oaistatic.com. Дополнительно имеет смысл анализировать историю браузера и установленные приложения и расширения через инструменты EDR/EPP.
      Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов OpenAI, с помощью политик браузера заблокировать различные браузерные расширения, дающие доступ к ChatGPT (или вообще все расширения, кроме одобренных). На уровне контроля приложений и EPP/EDR заблокировать установку фирменного приложения (ChatGPT.exe, com.openai.chat).
       
      View the full article
    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • KL FC Bot
      XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского
      Автор KL FC Bot
      У Павла Дурова и его «приватного» мессенджера появился новый конкурент, и это — барабанная дробь — Илон Маск и его сервис XChat. В нашем блоге мы не раз обсуждали, почему заявления Дурова о приватности и безопасности Telegram, мягко говоря, преувеличены. Здесь я лишь напомню читателю о том, что обычные (не секретные) чаты в Telegram не защищены сквозным шифрованием — базовым элементом, необходимым для приватности данных пользователей.
      Но вернемся к Маску. В конце апреля 2026 года для пользователей iOS стало доступно приложение XChat. О запуске этого мессенджера знаменитый инфобизнесмен говорил уже давно, причем с самого начала позиционировал его как невероятно приватный и безопасный способ общения и как прямого конкурента Signal, WhatsApp*, Telegram и iMessage. Сегодня разберем подробно, насколько стоит доверять обещаниям Маска новому сервису, поговорим об особенностях его использования, а также сравним с другими мессенджерами.
      Шифрование в стиле Bitcoin
      Изначально Маск анонсировал XChat 1 июня 2025 года, естественно, в своем аккаунте X (ex-Twitter). В ответ на вопрос другого пользователя соцсети, когда же стоит ожидать запуска нового сервиса, Маск написал: «На этой неделе, если не возникнет проблем с масштабированием».
      Проблемы с масштабированием, очевидно, возникли: бета-версия приложения вышла только в сентябре 2025 года, а полноценный доступ к приложению пользователи iOS получили только в апреле 2026 года. Что касается Android, то на момент публикации этого поста никакой информации о том, когда будет доступна версия для этой операционной системы, не было. При этом уже существует страница приложения XChat в Google Play, на которой можно было встать в очередь за ним оформить предварительную регистрацию, что бы это ни значило.
      Но вернемся к посту, в котором Маск анонсировал XChat. Этот пост привлек много внимания в сообществе экспертов по приватности и кибербезопасности, и вот почему: знаменитый инфобизнесмен написал, что сервис будет основан на «полностью новой архитектуре». Суть этой архитектуры — приложение написано на языке программирования Rust и должно иметь «шифрование в стиле Bitcoin».
      Илон Маск анонсирует запуск XChat и заявляет, что новый мессенджер написан на Rust и использует «шифрование в стиле Bitcoin». Источник
      Экспертное сообщество долго чесало затылок в попытке понять, что же Маск имел в виду — ведь Bitcoin не является системой анонимного шифрованного обмена данными. Блокчейн действительно использует публичные и приватные криптографические ключи, но совсем для другого — для подписания транзакций. При этом сами эти транзакции не просто не скрываются от посторонних глаз, а становятся видны любому желающему, причем навечно. Проще говоря, Bitcoin защищает своих пользователей не за счет обеспечения приватности, а совсем наоборот, с помощью максимальной публичности.
       
      View the full article
×
×
  • Создать...