Перейти к содержанию

[РЕШЕНО] Подозреваю, что мой компьютер используется для майнинга и даже знаю название вируса Netshield kit, но не могу его удалить


Рекомендуемые сообщения

Опубликовано

Сначала мой dns адрес начал меняться на одни и те же цифры. После скана и фикса с помощью FBRS айпи адрес не меняется, но netshield kit  по прежнему жрёт мой комп. А ещё я не могу скинуть логи т.к. тут можно только указать URL изображения.

Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

NetShield Kit 1.3.40.0

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

 

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

 

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{331b5410-94a9-4d6c-afeb-08c8a1b17965}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4138d85e-8cdf-46f5-94e7-14f5e753fbaf}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA70AA0-713C-417D-81C2-57844D4CD359}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{73c0ac44-950b-4a39-91fe-e4f326809745}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{74796b82-f09f-4ed0-bcaa-c5f97d7f95c3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FD1A267-F1EA-4845-90CE-943CE351EC3E}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E338148-E8CC-4508-83C0-C1C2020ED23A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8e1a7755-65d2-4a53-9268-07cb1596a4d0}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{928EFDA2-B1A5-4E58-AFA9-764CD733822B}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{B60692FE-A904-49DC-B553-D35826EB4DA1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1751F07-B4F7-4FDF-B96A-DF7BC50BF70A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E944FE-800C-46B0-B964-428D4537DDC1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a7b254cb-6044-41fe-99fc-bb19c02092ec}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a9bd4044-b788-48dd-b7f0-05ca40c950b3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{adc9472d-65de-43de-a314-655006d650b6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{bfdbb30a-9789-42a2-852b-671475a6a30b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{f193a84c-663a-4865-9058-227a27aff6d1}: [NameServer] = 37.59.58.122
O22 - Task: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Опубликовано

Нет, не нужно.

А программу

Цитата

Maskit

удалите.

 

Затем:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {2314176b-c598-11e9-85fe-00d86135e18a} - "E:\setup.exe" 
    HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90b2-bf13-11e9-85fc-00d86135e18a} - "F:\setup.exe" 
    HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90c4-bf13-11e9-85fc-00d86135e18a} - "G:\Launcher.exe" 
    HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f91ef-bf13-11e9-85fc-00d86135e18a} - "H:\Setup.exe" 
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
    CHR HKU\S-1-5-21-197052459-2635541647-3291879357-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    2020-11-25 07:49 - 2020-11-25 07:49 - 000000000 ____D C:\ProgramData\brbPPxbHbbpdTjX
    2020-11-23 16:22 - 2020-11-23 16:22 - 000000000 ____D C:\ProgramData\bHrxDljpLRFJnrRT
    2020-11-05 17:41 - 2020-11-05 17:41 - 000000000 ____D C:\ProgramData\tNhRpHRHBTPhTjRJt
    NetShield Kit 1.3.40.0 (HKLM-x32\...\{d696971e-d711-450d-b488-50e512197824}) (Version: 1.3.40.0 - Sigma Software) Hidden
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
    AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
    FirewallRules: [{DFB304C1-AE6F-4E3B-A029-C19435BEB3CA}] => (Allow) LPort=61458
    FirewallRules: [{E68417B7-5F31-47C2-B959-1096C90F7789}] => (Allow) LPort=6672
    FirewallRules: [{F6D19B6F-ED78-4725-8867-9913A62FDEA0}] => (Allow) LPort=61455
    FirewallRules: [{D82FB6E7-D72E-424A-A785-4724ED50B990}] => (Allow) LPort=61457
    FirewallRules: [{B3B779F0-181A-48BB-814E-2BFBE98071AF}] => (Allow) LPort=61456
    FirewallRules: [{71AA41E9-925F-4E87-9179-33C5B9BACA6B}] => (Allow) LPort=61458
    FirewallRules: [{16EC8C37-B4FD-4ED9-84A6-54257D69A00C}] => (Allow) LPort=6672
    FirewallRules: [{4C32042E-1056-4590-B14E-F3EC2F8526BA}] => (Allow) LPort=61455
    FirewallRules: [{2D20EFAA-FB42-43BA-8225-B6BB8F24E662}] => (Allow) LPort=61457
    FirewallRules: [{CE6437D0-589F-476D-85CE-2A51FC067F2A}] => (Allow) LPort=61456
    FirewallRules: [{0EC69B31-46D7-42B0-BFFB-A45DC1020619}] => (Allow) LPort=61458
    FirewallRules: [{02F4FCEA-73C6-45CE-8265-46E780BBFCE9}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    FirewallRules: [{850BBA97-0382-44AE-A674-5738E82B2D63}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
    FirewallRules: [{9B0B9684-37BB-4593-8F45-96C79241712F}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    FirewallRules: [{51E99755-7DC2-44AA-A015-71945ED9901D}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
    EmptyTemp:
    Reboot:
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне программ появится ранее скрытая

Цитата

NetShield Kit 1.3.40.0

 

Тоже удалите.

Опубликовано

Через geek или установку и удаление? Ведь через второе я это сделать не могу

 

Опубликовано

Пробуйте стандартно. Не получится - через Geek.

 

Но делайте это после выполнения скрипта.

Опубликовано
1 час назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Не вижу.

Опубликовано

вроде бы всё если смотреть по всем тем сканированиям

 

 

Опубликовано

По сканированиям смотрим мы, а вам нужно смотреть "внешнее" проявление :)

 

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • LexaXpNet
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • Viacheslau T
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Владимир А.К.
      Автор Владимир А.К.
      Здравствуйте! Пожалуйста, помогите с удалением вируса.
      После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел).
      Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов).

      CollectionLog-2025.07.26-19.55.zip
    • -AdviZzzor-
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
×
×
  • Создать...