Перейти к содержанию

Подозрения на майнер.


Рекомендуемые сообщения

Недавно я создал тему, потому как мой ПК стал перезагружаться без предупреждений. В логах были 2 предупреждения, но они вряд ли связаны с перезагрузкой. Также в диспетчере задач ЦП, когда я только его включаю обычно 50% +- 10 и сразу же падает до 5-10. Антивирус не нашел проблемы. 
Я не знаю, что мне нужно предоставить, поэтому несколько файлов. Если нужны другие, напишите. 
Отчет от kaspersky GetSystemInfo6.2 -  GSI6_ADMIN-ПК_Admin_08_02_2017_21_35_03.zip
Cкрин текста файла после sfc/scannow - post-46827-0-18404700-1501769994_thumb.png
Скрин из утилиты Process Explorer - post-46827-0-30121200-1501770101_thumb.png 

Изменено пользователем Veliamord
Ссылка на сообщение
Поделиться на другие сайты

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

 

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

 

А можно удалить тему, чтобы я все подготовил и заново сделал? 

Ссылка на сообщение
Поделиться на другие сайты

Отключило свет, не знаю когда вернут, сразу залью.

 

Я не знаю, что мне нужно предоставить,

Порядок оформления запроса о помощи

 

 

нужен архив логов собранных Автологером.

 

 

@Veliamord, публикуйте логи здесь.

Логи CollectionLog-2017.08.03-18.38.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '');
DeleteFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Driver Booster 4.5 [20170731]-->"D:\Programs\DriverUpdate\Driver Booster\4.5.0\unins000.exe"

Деинсталируйте.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '');
QuarantineFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '');
DeleteFile('C:\Users\Admin\AppData\Roaming\nssm.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\cppredistx86.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Visual C++ 2010', 'command');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Driver Booster 4.5 [20170731]-->"D:\Programs\DriverUpdate\Driver Booster\4.5.0\unins000.exe"

Деинсталируйте.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Не знаю, какая именно ссылка вам нужна:

MD5 карантина: FC4A21E17FDA1671D0D11C8B6B98073B

Размер файла: 100405737 байт

Ссылка на результаты анализа:Результаты анализа карантина

Тема для обсуждения результатов анализа: Результаты анализа карантина

Скрипт выполнил, ПК перезагрузился. 

Ответ -post-46827-0-19375600-1501787336_thumb.png

Номер KLAN-6610632526

Лог утилиты ClearLNK - ClearLNK-03.08.2017_22-05.log

Driver Booster 4.5 - удалил.

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

Если нужны логи повторной диагностики 

CollectionLog-2017.08.03-22.17.zip

Ссылка на сообщение
Поделиться на другие сайты

Не надо заниматься оверквотингом, внизу есть поле для быстрого ответа.

 

Download Master - у вас устанвлен или уже удалён? Просто остались хвосты от него, дочистить?

Ссылка на сообщение
Поделиться на другие сайты

Download Master начался устанавливаться, но я прервал загрузку, т.к был запущен по ошибке. Поиск не нашел результатов. 

Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: [Download Master] D:\Programs\Download Master\dmaster.exe -autorun (file missing) (HKCU) (2017/08/03)
O4 - MSConfig\startupreg: [Microsoft Visual C++ 2010] (no file)  (HKCU) (2017/08/03)
O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - (no file)
O8 - Extra context menu item: Закачать при помощи Download Master - (no file)
O8 - Extra context menu item: Передать на удаленную закачку DM - (no file)
O9-32 - Extra button: (no name) - HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O22 - Task (Ready): Driver Booster SkipUAC (Admin) - D:\Programs\DriverUpdate\Driver Booster\4.5.0\DriverBooster.exe /skipuac (file missing)
O22 - Task (Ready): GameNet - C:/Program Files (x86)/QGNA/qGNA.exe /minimized (file missing)
O22 - Task (Ready): XboxStatTask - C:\Program Files\Microsoft Xbox 360 Accessories\XBoxStat.exe silentrun (file missing)

 

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

 

 

Extension gkojfkhlekighikafcpjkiklfbnlmeio 1 Unlimited Free VPN - Hola 1.50.616

Не советую использовать  Hola, почитайте https://safezone.cc:443/threads/populjarnaja-besplatnaja-sluzhba-vpn-hola-ispolzuetsja-v-kachestve-botneta.25546/

Ссылка на сообщение
Поделиться на другие сайты

Hola удалил, в HijackThis всё сделал.
Отчет - AdwCleanerS0.txt
Также стоит ли мне произвести очистку? И может ли быть связаны черные моргания ( как будто идет установка драйвера видеокарты ) буквально секундные, которые появляются пару раз в течение 30 минут после включения ПК признаком вируса? Моргания появились еще давно.

Ссылка на сообщение
Поделиться на другие сайты

1.

  • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:
    • Политики IE
    • Политики Chrome

      и нажмите Ok.

  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Отчет AdwCleaner - AdwCleanerC0.txt

Отчет  Farbar Recovery Scan Too:
FRST FRST_04-08-2017 16.51.32.txt
Addition Addition_04-08-2017 16.51.32.txt
Shortcut - Shortcut_04-08-2017 16.51.32.txt
 

AdwCleanerC0.txt

Изменено пользователем Veliamord
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • DeatherWill
      От DeatherWill
      Здравствуйте, антивирус Касперского несколько раз
      обнаружил указанный вирус, но в отчетах указано,
      что проблема не была решена.
       
      Также в папке пользователя на диске С сразу после
      первого обнаружения вируса появился системный
      файл NTUSER.DAT. Раньше его там не было.
       
      Логи приложил. Проверил компьютер рекомендуемыми
      в правилах форума программами — не обнаружили вируса,
      но он есть
       
      Помогите, пожалуйста, решить проблему желательно
      без полной переустановки системы.
       
      Также я не очень разбираюсь в компьютерах, поэтому
      если от меня нужно будет совершить какие-либо действия,
      то, пожалуйста, опишите по пунктам


      CollectionLog-2024.02.26-06.13.zip
    • РусланKотов
      От РусланKотов
      Добрый день, словил майнер около месяца назад, из за того что активировал систему windows с помощью KMS Auto, ошибку свою осознал уже когда было поздно. Стала грузиться видеокарта, не мог открыть ни один сайт антивируса и установить его соответственно, не открывались сайты,  на которых могли оказать помощь. Удалил майнер с помощью утилиты и на мою вторую ошибку - я забыл её название. Она обнаружила майнер и удалила его, после удаления я смог пользоваться браузером, диспетчер задач перестал закрываться, а игры тормозить. После этого я переустановил систему, использовав уже купленный официально ключ. А так же обновил биос материнской платы ибо боялся что вирус мог остаться в ней. Но сейчас наблюдаю то, что интернет на компьютере переодически сам отключается и пропадает доступ, помогает только перезагрузка роутера(Пользуюсь Wi-Fi), а так же иногда при открытии диспетчера задач сбрасывается частота процессора. Видеокарта в простое греется вплоть до 50 градусов, хотя она не нагружается мной ничем, как и сам компьютер. Как можно убедиться, что вируса больше нет и переживать не о чем? Так же купил лицензию Касперский премиум на год и проверил неоднократно полной проверкой новую установленную систему. Ничего помимо моей воли не закрывается и вроде бы работает как надо, антивирус не находит ничего подозрительного. Но после того как сходил с ума и не знал как удалить этот вирус - остался осадок можно сказать и до сих пор переживаю, а что если этот майнер мог влезть в память материнской платы и от туда каждый раз при установке новой ОС влезать... 
    • Kapsin
      От Kapsin
      При нажатии ПКМ в безопасном режиме на анти вирус или при запуске приложения от имени админа - мерцает экран и всё сбрасывается ( это со всеми приложениями )

      Запись экрана 1 Экранная Камера 18 февраля.mp4  
    • АнтонРоманович
      От АнтонРоманович
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      KIS его находит сразу при включении и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Пробовал удалить вручную папку, которую указал KIS, но она восстанавливается.
      Подскажите, что делать? Спасибо

      В общем, тоже самое, что и  https://forum.kasperskyclub.ru/topic/421091-resheno-heurtrojanwin64minergen-kak-udalit-jetot-virus/
      FRST.txt Addition.txt
    • SKINKS
      От SKINKS
      Пробовал удалять через DrWeb.Cureit ничего не помогло, вирус снова появляется через некоторое время
×
×
  • Создать...