Перейти к содержанию
Авторизация  
Станислав Толубаев

[РЕШЕНО] Trojan Miner.gen

Рекомендуемые сообщения

CollectionLog-2019.04.29-18.15.zipУстановил не так давно AcrStream футбол смотреть

 

Футбол работает, но при каждом запуске AceStream возникает окно в гуглхроме с предложением не смотреть рекламу

 

 

 

Комп начал притормаживать, полез смотреть что есть хорошего в task manager

 

Нашел запущенный процесс setup.exe из вышеуказанной папки windows/syswow64/installshield

 

 

 

Убивается и возникает снова

 

 

 

Выяснилось, что любой браузер вешается при попытке загрузить антивирусную программу

 

Также выяснилось, что антивирусные программы не запускаются не в безопасном режиме

 

 

 

На данный момент adw remover удалил более шестидесяти угроз из безопасного режима

 

Вслед за ним Emergency Kit Scanner от Emisoft тоже нашел семь троянов

 

 

 

Но ситуация не изменилась - браузеры вешаются, сетап в памяти (из 70кб разворачивается на 70Мб)

Запустил KVRT и ужаснулся - он вычистил около 1500 троянов miner.gen

 

Помогите избавиться от напасти если она еще осталась. И как заткнуть дырки откуда она прет?

Win7 Enterprise Edition

Изменено пользователем Станислав Толубаев

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
Task: {E2DE8424-51E1-4D7E-9834-52426F4F5D73} - \{E2C19523-3B30-58E3-C944-EB7B999CD620} -> No File <==== ATTENTION
Task: {FD45FE86-C6D2-4E94-881E-3857959E0E01} - \{A4CF9521-6E17-C35B-D4E5-03456B6AAD08} -> No File <==== ATTENTION
Tcpip\..\Interfaces\{61163EB4-C04E-4EC3-B21F-5560EE8B3F73}: [NameServer] 95.216.188.196
1601-01-03 21:26 - 1601-01-03 21:26 - 000073216 ____N (Microsoft Corporation) C:\Users\tSteve\AppData\Roaming\ekhJJlMgS.exe
Tcpip\..\Interfaces\{762B0A8D-294C-4E3C-9621-4452C308F048}: [NameServer] 95.216.188.196
Tcpip\..\Interfaces\{886C924D-67F4-4225-922A-6AB4103A55A1}: [NameServer] 95.216.188.196
1601-01-03 21:26 - 1601-01-03 21:26 - 000186368 ____N (Microsoft Corporation) C:\Users\tSteve\SSsO.exe
MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk => C:\Windows\pss\Zaxar Games Browser.lnk.CommonStartup
MSCONFIG\startupreg: 375L7OD1NUGEVK9 => "C:\Program Files\1EI1MR6SM1\E3PGUQCTL.exe"
MSCONFIG\startupreg: 4814352 => "C:\Users\tSteve\AppData\Roaming\w1ofnxxyrrl\33isdlld3ru.exe" /VERYSILENT
MSCONFIG\startupreg: 571234 => "C:\Users\tSteve\AppData\Roaming\gfpmn1yrr2u\ku0rnjkd01u.exe" /VERYSILENT
MSCONFIG\startupreg: 5932871 => "C:\Users\tSteve\AppData\Roaming\f1f02etallp\lc5kdzaetq1.exe" /VERYSILENT
MSCONFIG\startupreg: 59DH4V9E4QO3CV3 => "C:\Program Files (x86)\hl3cuarj0tb\FNS3R.exe"
MSCONFIG\startupreg: 7778246 => "C:\Users\tSteve\AppData\Roaming\dvsk5m2h0wz\amqdx4lgz2f.exe" /VERYSILENT
MSCONFIG\startupreg: 8528816 => "C:\Users\tSteve\AppData\Roaming\f55kq4itdgp\pqzclqnpysr.exe" /VERYSILENT
MSCONFIG\startupreg: AceStream => C:\Users\tSteve\AppData\Roaming\ACEStream\engine\ace_engine.exe
MSCONFIG\startupreg: S9ZAGL1ZEZGMG3V => "C:\Program Files\GSP3459GPW\5NFZKK2AU.exe"
MSCONFIG\startupreg: SVS3IRJBKR40MMH => "C:\Program Files\X05CN88QEK\APBRV7ERD.exe"
MSCONFIG\startupreg: VDDDY7U182G1YKO => "C:\Program Files\LXO12OBWFM\PIE3ITF12.exe"
MSCONFIG\startupreg: Z1VVMA6XEAI0BSA => "C:\Program Files\GNY3Q3YNTV\GNY3Q3YNT.exe"
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [286]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [136]
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мусор почистили. Что с проблемой?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мусор почистили. Что с проблемой?

 

Чрезмерного роста пожирания памяти сторонними программами больше нет. Гугл хром не считается. Тормозить прекратил комп. Ну то есть в пределах разумного.

Надо ли удалять что то из ПО, которое помогло удалить всю дрянь?

 

AceStream пропал с компа напрочь. Эта программа в принципе сам по себе троян или с ее помощью можно вот так влезть на комп извне? Или я просто умудрился скачать ее с трояном, а в принципе она приличная? Погуглил, мнения 50 на 50. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Рекламу крутит по полной. Так что мы не рекомендуем ее наличие на компьютере.

 

Утилиты лечения можете удалить.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 30.04.2019 00:22:54

Path starting: C:\Users\tSteve\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: tSteve

VersionXML: 6.31is-27.04.2019

___________________________________________________________________________

 

Windows 7(6.1.7601) Service Pack 1 (x64) Enterprise Lang: English(0409)

Installation date OS: 05.01.2014 04:43:04

LicenseStatus: Windows® 7, Enterprise edition Windows is in Notification mode

Boot Mode: Normal

Default Browser: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

SystemDrive: C: FS: [NTFS] Capacity: [465.7 Gb] Used: [335.4 Gb] Free: [130.3 Gb]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18665 Warning! Download Update

Online installation. Last version available when Windows update is enabled throught the Internet.

User Account Control enabled (Level 3)

Notify before download

Date install updates: 2017-05-31 16:35:33

Windows Update (wuauserv) - The service is running

Security Center (wscsvc) - The service is running

Remote Registry (RemoteRegistry) - The service has stopped

SSDP Discovery (SSDPSRV) - The service is running

Remote Desktop Services (TermService) - The service has stopped

Windows Remote Management (WS-Management) (WinRM) - The service has stopped

--------------------------- [ FirewallWindows ] ---------------------------

Windows Firewall (MpsSvc) - The service is running

Disabled the public profile of Windows Firewall

Disabled the standard profile for Windows Firewall

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (enabled and out of date)

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft .NET Framework 4.6.1 v.4.6.01055 Warning! Download Update

Steam v.2.10.91.91

TeamViewer 12 v.12.0.95388 Warning! Download Update

VLC media player v.3.0.6

WinSCP 5.5.1 v.5.5.1 Warning! Download Update

OpenOffice 4.1.2 v.4.12.9782 Warning! Download Update

TeamViewer 12 (TeamViewer) - The service has stopped

-------------------------------- [ ARCH ] ---------------------------------

7-Zip 9.20 Warning! This software is no longer supported. Uninstall old version, download and install new one.

--------------------------------- [ IM ] ----------------------------------

Viber v.6.9.0.1048 Warning! Download Update

^Optional update.^

Skype™ 7.40 v.7.40.103 Warning! Download Update

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.5.45146 Warning! P2P-client.

-------------------------------- [ Java ] ---------------------------------

Java 6 Update 32 v.6.0.320 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u211-windows-i586.exe).

Java 8 Update 31 v.8.0.310 Warning! Download Update

Uninstall old version and install new one (jre-8u211-windows-i586.exe).

--------------------------- [ AppleProduction ] ---------------------------

iCloud v.7.7.0.27

iTunes v.12.9.0.167 Warning! Download Update

^Please use Apple Software Update tool.^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Flash Player 32 NPAPI v.32.0.0.171

Adobe Shockwave Player 12.0 v.12.0.7.148 Warning! This software is no longer supported. Please uninstall it.

swMSM v.12.0.0.1 << Hidden Warning! This software is no longer supported. Please uninstall it.

Adobe Acrobat Reader DC - Russian v.19.010.20099

------------------------------- [ Browser ] -------------------------------

Mozilla Firefox 66.0.3 (x64 ru) v.66.0.3

Google Chrome v.74.0.3729.108

------------------ [ AntivirusFirewallProcessServices ] -------------------

Windows Defender (WinDefend) - The service is running

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player Warning! Application is distributed through the partnership programs and bundle assemblies. Uninstallation recommended. Possible you became a victim of fraud or social engineering.

eweew3grthrtvew Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall it and execute PC scanning using Malwarebytes Anti-Malware and Malwarebytes AdwCleaner. Before uninstallation and scanning it is necessary to consult in the forum where cure is provided for you!!!

----------------------------- [ End of Log ] ------------------------------

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выполните рекомендованное, и на этом закончим

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

swMSM v.12.0.0.1 << Hidden Warning! This software is no longer supported. Please uninstall it.

 

Как спрятанное деинсталлировать?

 

Спасибо

Изменено пользователем Станислав Толубаев

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пробуйте теперь удалять.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
Авторизация  

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.