[РЕШЕНО] Подозреваю, что мой компьютер используется для майнинга и даже знаю название вируса Netshield kit, но не могу его удалить

[CANTSTANDWITHTHIS 0]

Сначала мой dns адрес начал меняться на одни и те же цифры. После скана и фикса с помощью FBRS айпи адрес не меняется, но netshield kit  по прежнему жрёт мой комп. А ещё я не могу скинуть логи т.к. тут можно только указать URL изображения.

[CANTSTANDWITHTHIS 0]

CollectionLog-2020.12.04-07.59.zip

[Sandor 1 252]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

MediaGet

NetShield Kit 1.3.40.0

Кнопка "Яндекс" на панели задач

Менеджер браузеров

 

 

Что не сможете удалить стандартно, удаляйте принудительно через Geek Uninstaller

 

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{331b5410-94a9-4d6c-afeb-08c8a1b17965}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4138d85e-8cdf-46f5-94e7-14f5e753fbaf}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA70AA0-713C-417D-81C2-57844D4CD359}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{73c0ac44-950b-4a39-91fe-e4f326809745}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{74796b82-f09f-4ed0-bcaa-c5f97d7f95c3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{7FD1A267-F1EA-4845-90CE-943CE351EC3E}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E338148-E8CC-4508-83C0-C1C2020ED23A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{8e1a7755-65d2-4a53-9268-07cb1596a4d0}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{928EFDA2-B1A5-4E58-AFA9-764CD733822B}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{B60692FE-A904-49DC-B553-D35826EB4DA1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1751F07-B4F7-4FDF-B96A-DF7BC50BF70A}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1E944FE-800C-46B0-B964-428D4537DDC1}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a7b254cb-6044-41fe-99fc-bb19c02092ec}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{a9bd4044-b788-48dd-b7f0-05ca40c950b3}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{adc9472d-65de-43de-a314-655006d650b6}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{bfdbb30a-9789-42a2-852b-671475a6a30b}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\..\{f193a84c-663a-4865-9058-227a27aff6d1}: [NameServer] = 37.59.58.122
O22 - Task: NetShield Kit Self Repair - C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe -repair
O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[CANTSTANDWITHTHIS 0]

вотAdwCleaner[S00].txt

AdwCleaner[S00].txt

 

И вопрос: Мне не нужно удалять в hijack файлы с окончанием 185.201.47.44?

 

[Sandor 1 252]

Нет, не нужно.

А программу

Цитата

Maskit

удалите.

 

Затем:

1.

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[CANTSTANDWITHTHIS 0]

AdwCleaner[C00].txt Addition.txt FRST.txt

[Sandor 1 252]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {2314176b-c598-11e9-85fe-00d86135e18a} - "E:\setup.exe" 
  HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90b2-bf13-11e9-85fc-00d86135e18a} - "F:\setup.exe" 
  HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f90c4-bf13-11e9-85fc-00d86135e18a} - "G:\Launcher.exe" 
  HKU\S-1-5-21-197052459-2635541647-3291879357-1000\...\MountPoints2: {696f91ef-bf13-11e9-85fc-00d86135e18a} - "H:\Setup.exe" 
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-197052459-2635541647-3291879357-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
  2020-11-25 07:49 - 2020-11-25 07:49 - 000000000 ____D C:\ProgramData\brbPPxbHbbpdTjX
  2020-11-23 16:22 - 2020-11-23 16:22 - 000000000 ____D C:\ProgramData\bHrxDljpLRFJnrRT
  2020-11-05 17:41 - 2020-11-05 17:41 - 000000000 ____D C:\ProgramData\tNhRpHRHBTPhTjRJt
  NetShield Kit 1.3.40.0 (HKLM-x32\...\{d696971e-d711-450d-b488-50e512197824}) (Version: 1.3.40.0 - Sigma Software) Hidden
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
  AlternateDataStreams: C:\Users\User\AppData\Local\Temp:$DATA [16]
  FirewallRules: [{DFB304C1-AE6F-4E3B-A029-C19435BEB3CA}] => (Allow) LPort=61458
  FirewallRules: [{E68417B7-5F31-47C2-B959-1096C90F7789}] => (Allow) LPort=6672
  FirewallRules: [{F6D19B6F-ED78-4725-8867-9913A62FDEA0}] => (Allow) LPort=61455
  FirewallRules: [{D82FB6E7-D72E-424A-A785-4724ED50B990}] => (Allow) LPort=61457
  FirewallRules: [{B3B779F0-181A-48BB-814E-2BFBE98071AF}] => (Allow) LPort=61456
  FirewallRules: [{71AA41E9-925F-4E87-9179-33C5B9BACA6B}] => (Allow) LPort=61458
  FirewallRules: [{16EC8C37-B4FD-4ED9-84A6-54257D69A00C}] => (Allow) LPort=6672
  FirewallRules: [{4C32042E-1056-4590-B14E-F3EC2F8526BA}] => (Allow) LPort=61455
  FirewallRules: [{2D20EFAA-FB42-43BA-8225-B6BB8F24E662}] => (Allow) LPort=61457
  FirewallRules: [{CE6437D0-589F-476D-85CE-2A51FC067F2A}] => (Allow) LPort=61456
  FirewallRules: [{0EC69B31-46D7-42B0-BFFB-A45DC1020619}] => (Allow) LPort=61458
  FirewallRules: [{02F4FCEA-73C6-45CE-8265-46E780BBFCE9}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  FirewallRules: [{850BBA97-0382-44AE-A674-5738E82B2D63}] => (Allow) C:\Program Files (x86)\NetShield Kit\cli.exe => No File
  FirewallRules: [{9B0B9684-37BB-4593-8F45-96C79241712F}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  FirewallRules: [{51E99755-7DC2-44AA-A015-71945ED9901D}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe => No File
  EmptyTemp:
  Reboot:
  End::

   

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне программ появится ранее скрытая

Цитата

NetShield Kit 1.3.40.0

 

Тоже удалите.

[CANTSTANDWITHTHIS 0]

Через geek или установку и удаление? Ведь через второе я это сделать не могу

 

[Sandor 1 252]

Пробуйте стандартно. Не получится - через Geek.

 

Но делайте это после выполнения скрипта.

[CANTSTANDWITHTHIS 0]

Удалил

 

 

[Sandor 1 252]

1 час назад, Sandor сказал:

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению

Не вижу.

[CANTSTANDWITHTHIS 0]

забыл прикрепить

Fixlog.txt

[Sandor 1 252]

Что из проблем осталось?

[CANTSTANDWITHTHIS 0]

вроде бы всё если смотреть по всем тем сканированиям

 

 

[Sandor 1 252]

По сканированиям смотрим мы, а вам нужно смотреть "внешнее" проявление

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.