Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте,  у меня серьезная проблема, в интернете подхватил жесткий вирус. Как я понял, его задача майнинг используя ресурсы моего пк. Изначально заметил, когда в простое был пк, начали работать обороты вентиляторов на максимум.  Когда включил "диспетчер задач", чтоб посмотреть, что грузит систему и моментально падали обороты и всё приходило в норму. После я подумал зайти на сайты скачать антивирус, но ни Касперский, ни eset nod32 ни какой либо другой не открывал сайт. Просто как будто нет интернета, а другие всё сайты открывал кроме антивирусных. После, выбора не было, скачал со староних сайтов антивирус с уже установочным полностью с обновление и тд. эксэшный(exe) одним файлом. Он был в папке, но после его нажатия просто исчез. А и еще не сказал, что "диспетчер задач" сам автоматически закрывался  и вновь начинал работать на полную мощность. Далее я в старый ноутбук поставил антивирус Касперский, а жесткий диск с зараженного ноутбука поставил через бокс и по usb подключил в старый ноутбук с антивирусом. Проверил 99% и завис на файле rdpwrap.dll и так уже четвертый час, ну мне кажется уже ничего не изменится. Полный путь Е:(он же С: если бы стоял в зараженном ноутбуке)\Program Files\RDM Wrapper\rdpwrap.dll . Можно ли с ним побороться или проще переустановить Виндовс

p.s. точки восстановления нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Только сбор логов нужно выполнять на проблемном ноутбуке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, thyrex сказал:

Только сбор логов нужно выполнять на проблемном ноутбуке.

В старом ноутбуке закончил проверку(простоял всю ночь, но закончил проверку) удалил вирусы. Вставил в проблемный ноутбук, всё заработало, но при установке антивируса выдает ошибку невозможности установить его(на  этот раз устанавливал ESET). Продела операцию со сборщиком логов.

Снимок экрана (1).png

CollectionLog-2020.06.18-11.57.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Web Companion', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'x64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).


"Пофиксите" в HijackThis (некоторых строк может не быть):

O4 - HKLM\..\Run: [Realtek HD Audio] = C:\ProgramData\RealtekHD\taskhostw.exe  (file missing)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1
O15 - Trusted Zone: http://webcompanion.com
O22 - Task: \Microsoft\Windows\Wininet\Cleaner - C:\Programdata\WindowsTask\winlogon.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDControl - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\RealtekHDStartUP - C:\Programdata\RealtekHD\taskhost.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhost - C:\Programdata\RealtekHD\taskhostw.exe (file missing)
O22 - Task: \Microsoft\Windows\Wininet\Taskhostw - C:\Programdata\RealtekHD\taskhostw.exe (file missing)

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От Fadei
      Не могу удалить майнер 
      first_log.txt
    • От TimTimych
      не получается удалить майнер. после перезагрузки появляется снова.
      CollectionLog-2020.08.16-18.25.zip
    • От Elderly
      Появился два дня назад, вечером. Съедает он 50% ЦП и почти всю оперативную память.
      Я не первый с этой проблемой, так что не вижу смысла расписывать.
      CollectionLog-2020.08.16-16.11.zip
    • От Emil Sarymsakov
      Доброго времени суток. Сегодня обнаружил, что в диспетчере задач сидит процесс VMware Service Core и очень сильно грузит систему. Почитав данный форум, уже стало ясно, что это майнер. Прошу помочь удалить.
      CollectionLog-2020.08.16-12.58.zip
    • От BlaCKjAcK
      Добрый День!
      Недавно на моём компьютере в диспетчере задач появилось странное приложение VMware core service которое нагружало цп  до 100%. Этот майнер находится в папке Program Data  и я попробовал его удалить но после перезагрузки он восстановился и снова работал, я попробовал поместит ь его в карантин в ESET антивирус но туда он не поместился.ESET и Malwarebytes  не показывали его как вирус. Ниже я предоставил вам скрин приложения и файла где он находится, а также логи. 

      CollectionLog-2020.08.15-22.03.zip
×
×
  • Создать...