Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте! Недавно ставил чистую винду с форматированием дисков, и каким-то образом появились майнеры, и удалить их никак не могу, Также, когда пытаюсь открыть regedit, он сразу же закрывается.

photo_2026-03-09_22-54-36.jpg

Изменено пользователем LevaAttacker
Опубликовано (изменено)

Я запустил программу autologger но он не прогнал мне тест просто создал папку с файлами также результаты теста Dr.Web Curelt                    image.thumb.png.5191c6294272d0d34d220ae394a4abe7.png  

photo_2026-03-10_07-24-36.jpg

 

Получилось после перезагрузки прогнать автолог

CollectionLog-2026.03.10-08.23.zip

Изменено пользователем LevaAttacker
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [EnableLUA] = 0
O22 - Tasks: JJQN02SOF0L22C4CP3 - C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}\DllHost.exe (file missing)

 

Найдите отчёт "доктора" в виде файла C:\Users\attac\cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

 

Сделайте полную проверку Malwarebytes, результаты сохраните в текстовый файл и тоже прикрепите.

 

 

Опубликовано (изменено)

Сделал глубокую проверку в malewarebytes и обычную проверку в dr web

logs.zip

Изменено пользователем LevaAttacker
Опубликовано

Пока вижу реакцию "доктора" на нежелательное ПО и Malwarebytes ложные срабатывания.

 

Посмотрим ещё так:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано (изменено)

Вот результаты сканирования
 

FRST.txt Addition.txt

Изменено пользователем LevaAttacker
Опубликовано

Некоторое время подождите, пожалуйста. 

Опубликовано

Сделаем некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    CreateRestorePoint:
    HKU\S-1-5-21-3191805828-3067704573-642490563-1001\...\Run: [Windscribe] => "C:\Program Files\Windscribe\Windscribe.exe" --autostart (Нет файла)
    HKU\S-1-5-18\...\Run: [RazerAppEngine] => "C:\Program Files\Razer\RazerAppEngine\RazerAppEngine.exe" --url-params=apps=synapse --launch-force-hidden=synapse (Нет файла)
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
    Task: {4E7749B9-CF99-4E4E-BA2F-8100415334E0} - System32\Tasks\JJQN02SOF0L22C4CP3 => C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}\DllHost.exe  (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    CHR StartupUrls: Default -> "hxxps://vk.com/levaattack","hxxps://www.youtube.com/","hxxps://e.mail.ru/login?from=mail.login","hxxps://www.instagram.com/","hxxp://mail.ru/cnt/10445?gp=831102","hxxp://tgmgo.com","hxxp://mail.ru/cnt/10445?gp=855103","hxxp://mail.ru/cnt/10445?gp=811009","hxxp://rusearch.co"
    Folder: C:\ProgramData\{8ER5NRZ2-7L50-DSHU-UDNT9HFCQOXR}
    2026-03-01 11:37 - 2026-03-01 11:37 - 000003578 _____ C:\WINDOWS\system32\Tasks\JJQN02SOF0L22C4CP3
    AlternateDataStreams: C:\desktop.ini:CachedTiles [2466]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2348]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Что сейчас с проблемой?

  • Спасибо (+1) 1
Опубликовано

Сейчас получается открыть регедит, и вирусов не видать, спасибо огромное ❤️❤️❤️❤️

Опубликовано

Ну, мы тут дочищали только некоторые хвосты и мусор. Вероятно утилитами сам вредонос был уже удалён.

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Исправьте по возможности:

 

Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

NVIDIA App 11.0.5.420 v.11.0.5.420 Внимание! Скачать обновления
Microsoft Visual C++ v14 Redistributable (x86) - 14.50.35710 v.14.50.35710.0 Внимание! Скачать обновления
Yandex Browser v.25.12.4.1259 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Opera GX Stable 127.0.5778.96 v.127.0.5778.96 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
 

 

Читайте Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
×
×
  • Создать...