Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Подозреваю, что мой компьютер используется для майнинга и даже знаю название вируса Netshield kit, но не могу его удалить

CANTSTANDWITHTHIS

Автор CANTSTANDWITHTHIS
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

CANTSTANDWITHTHIS

CANTSTANDWITHTHIS

Опубликовано
Опубликовано

Сначала мой dns адрес начал меняться на одни и те же цифры. После скана и фикса с помощью FBRS айпи адрес не меняется, но netshield kit  по прежнему жрёт мой комп. А ещё я не могу скинуть логи т.к. тут можно только указать URL изображения.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

NetShield Kit 1.3.40.0

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

 

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

 

"Пофиксите" в HijackThis: 

O17 - HKLM\System\CCS\Services\Tcpip\..\{331b5410-94a9-4d6c-afeb-08c8a1b17965}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4138d85e-8cdf-46f5-94e7-14f5e753fbaf}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA70AA0-713C-417D-81C2-57844D4CD359}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{73c0ac44-950b-4a39-91fe-e4f326809745}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{74796b82-f09f-4ed0-bcaa-c5f97d7f95c3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FD1A267-F1EA-4845-90CE-943CE351EC3E}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E338148-E8CC-4508-83C0-C1C2020ED23A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8e1a7755-65d2-4a53-9268-07cb1596a4d0}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{928EFDA2-B1A5-4E58-AFA9-764CD733822B}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{B60692FE-A904-49DC-B553-D35826EB4DA1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1751F07-B4F7-4FDF-B96A-DF7BC50BF70A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E944FE-800C-46B0-B964-428D4537DDC1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a7b254cb-6044-41fe-99fc-bb19c02092ec}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a9bd4044-b788-48dd-b7f0-05ca40c950b3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{adc9472d-65de-43de-a314-655006d650b6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{bfdbb30a-9789-42a2-852b-671475a6a30b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{f193a84c-663a-4865-9058-227a27aff6d1}: [NameServer] = 37.59.58.122
O22 - Task: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Нет, не нужно.

А программу

Цитата

Maskit

удалите.

 

Затем:

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CreateRestorePoint:
HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {2314176b-c598-11e9-85fe-00d86135e18a} - "E:\setup.exe" 
HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90b2-bf13-11e9-85fc-00d86135e18a} - "F:\setup.exe" 
HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90c4-bf13-11e9-85fc-00d86135e18a} - "G:\Launcher.exe" 
HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f91ef-bf13-11e9-85fc-00d86135e18a} - "H:\Setup.exe" 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
CHR HKU\S-1-5-21-197052459-2635541647-3291879357-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
2020-11-25 07:49 - 2020-11-25 07:49 - 000000000 ____D C:\ProgramData\brbPPxbHbbpdTjX
2020-11-23 16:22 - 2020-11-23 16:22 - 000000000 ____D C:\ProgramData\bHrxDljpLRFJnrRT
2020-11-05 17:41 - 2020-11-05 17:41 - 000000000 ____D C:\ProgramData\tNhRpHRHBTPhTjRJt
NetShield Kit 1.3.40.0 (HKLM-x32\...\{d696971e-d711-450d-b488-50e512197824}) (Version: 1.3.40.0 - Sigma Software) Hidden
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
FirewallRules: [{DFB304C1-AE6F-4E3B-A029-C19435BEB3CA}] => (Allow) LPort=61458
FirewallRules: [{E68417B7-5F31-47C2-B959-1096C90F7789}] => (Allow) LPort=6672
FirewallRules: [{F6D19B6F-ED78-4725-8867-9913A62FDEA0}] => (Allow) LPort=61455
FirewallRules: [{D82FB6E7-D72E-424A-A785-4724ED50B990}] => (Allow) LPort=61457
FirewallRules: [{B3B779F0-181A-48BB-814E-2BFBE98071AF}] => (Allow) LPort=61456
FirewallRules: [{71AA41E9-925F-4E87-9179-33C5B9BACA6B}] => (Allow) LPort=61458
FirewallRules: [{16EC8C37-B4FD-4ED9-84A6-54257D69A00C}] => (Allow) LPort=6672
FirewallRules: [{4C32042E-1056-4590-B14E-F3EC2F8526BA}] => (Allow) LPort=61455
FirewallRules: [{2D20EFAA-FB42-43BA-8225-B6BB8F24E662}] => (Allow) LPort=61457
FirewallRules: [{CE6437D0-589F-476D-85CE-2A51FC067F2A}] => (Allow) LPort=61456
FirewallRules: [{0EC69B31-46D7-42B0-BFFB-A45DC1020619}] => (Allow) LPort=61458
FirewallRules: [{02F4FCEA-73C6-45CE-8265-46E780BBFCE9}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
FirewallRules: [{850BBA97-0382-44AE-A674-5738E82B2D63}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
FirewallRules: [{9B0B9684-37BB-4593-8F45-96C79241712F}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
FirewallRules: [{51E99755-7DC2-44AA-A015-71945ED9901D}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
EmptyTemp:
Reboot:
End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне программ появится ранее скрытая

Цитата

NetShield Kit 1.3.40.0

 

Тоже удалите.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Не вижу.

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

По сканированиям смотрим мы, а вам нужно смотреть "внешнее" проявление :)

 

В завершение:

1.

  • Пожалуйста, запустите adwcleaner.exe
  • В меню Параметры прокрутите вниз и выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • LexaXpNet
      Не могу удалить майнинг-вирус DOC001.exe
      Автор LexaXpNet
      Доброе время суток, пользуюсь продуктом Kaspersky Endpoint Security 12.3 в корпорации, лицензия все дела.... 
      Имеется большая локальная сеть, в которой часть рабочий мест без антивируса.
      Сама локальная сеть без доступа к интернету. 
      Само собой в локальной сети имеются расшаренные папки для работы с пользователями. 
      Затисался в сетке каким-то образом.. откуда-то... как я уже понял майнинг-вирус DOC001.exe, который при удалении всегда появляется снова... 
      На рабочих местах где стоит Каспер, он попадает, но потом его сразу же убивает Каспер...
      На других подобных местах и местах без Антивируса такая же беда.
      Пробовал удалять его СПО Malwarebytes и KVRT, как итог не вышло... Все равно появляется. 
      Люди добрые, как его побороть?) 

    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • -AdviZzzor-
      [РЕШЕНО] Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • ggruzin
      [РЕШЕНО] Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
×
×
  • Создать...