Перейти к содержанию
Правила раздела

Windows 10 Home , не устанавливается KIS. Вирус майнер.

Иван71

Автор Иван71
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Иван71

Иван71

Опубликовано
Опубликовано (изменено)

Здравствуйте. Не могу установить KIS, оишбка при установке. Проблема следующая. Заметил что компьютер начал сильно "грузится" даже в режиме простоя. Обратил внимание что что то грузит его на 100% при том что я ничего не делаю вообще. При открытии диспетчера задач процесс тут же "прячется" и нагрузка падает на комп. В файле hosts было это содержимое: 

Спойлер

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost

127.0.0.1 codeload.github.com

127.0.0.1 support.kaspersky.ru

127.0.0.1 kaspersky.ru

127.0.0.1 virusinfo.info

127.0.0.1 forum.kasperskyclub.ru

127.0.0.1 cyberforum.ru

127.0.0.1 soft-file.ru

127.0.0.1 www.360totalsecurity.com

127.0.0.1 cezurity.com

127.0.0.1 www.dropbox.com

127.0.0.1 193.228.54.23

127.0.0.1 spec-komp.com

127.0.0.1 eset.ua

127.0.0.1 panel.koronavirusfuck.xyz

127.0.0.1 360totalsecurity.com

127.0.0.1 www.esetnod32.ru

127.0.0.1 www.comss.ru

127.0.0.1 blog-pc.ru

127.0.0.1 www.securrity.ru

127.0.0.1 vellisa.ru

127.0.0.1 download-software.ru

127.0.0.1 drweb-cureit.ru

127.0.0.1 softpacket.ru

127.0.0.1 www.kaspersky.com


127.0.0.1 www.avast.ua

127.0.0.1 www.avast.ru

127.0.0.1 zillya.ua

127.0.0.1 safezone.ua

127.0.0.1 vms.drweb.ru

127.0.0.1 www.drweb.ua

127.0.0.1 free.drweb.ru

127.0.0.1 biblprog.org.ua

127.0.0.1 free-software.com.ua

127.0.0.1 free.dataprotection.com.ua

127.0.0.1 www.drweb.com

127.0.0.1 www.softportal.com

127.0.0.1 www.nashnet.ua

127.0.0.1 softlist.com.ua


127.0.0.1 it-doc.info

127.0.0.1 esetnod32.ru

127.0.0.1 blog-bridge.ru

127.0.0.1 remontka.pro

127.0.0.1 securos.org.ua

127.0.0.1 pc-helpp.com

127.0.0.1 softdroid.net


127.0.0.1 malwarebytes.com

127.0.0.1 ru.vessoft.com

127.0.0.1 AlpineFile.ru

127.0.0.1 malwarebytes-anti-malware.ru.uptodown.com

127.0.0.1 ProgramDownloadFree.com

127.0.0.1 download.cnet.com

127.0.0.1 soft.mydiv.net

127.0.0.1 spyware-ru.com

127.0.0.1 remontcompa.ru

127.0.0.1 www.hitmanpro.com

127.0.0.1 hitman-pro.ru.uptodown.com

127.0.0.1 www.bleepingcomputer.com

127.0.0.1 soft.oszone.net

127.0.0.1 krutor.org

127.0.0.1 RuTracker.org

127.0.0.1 www.greatis.com

127.0.0.1 unhackme.ru.uptodown.com

127.0.0.1 programy.com.ua


127.0.0.1 softobase.com


127.0.0.1 www.besplatnoprogrammy.ru

127.0.0.1 unhackme.en.softonic.com

127.0.0.1 unhackme.com

127.0.0.1 unhackme.ru

127.0.0.1 nnm-club.name

127.0.0.1 vgrom.com

127.0.0.1 moneropool.com

127.0.0.1 mine.moneropool.com

127.0.0.1 xmr.cryptopool.org

127.0.0.1 pool.monero.org

127.0.0.1 minexmr.com

127.0.0.1 monero.crypto-pool.fr

127.0.0.1 dwarfpool.com

127.0.0.1 disk-space.ru








127.0.0.1 file7.ru


127.0.0.1 ufille.ru

127.0.0.1 rgho.st

127.0.0.1 yadi.su

127.0.0.1 catcut.net

127.0.0.1 fsdisk.ru

127.0.0.1 rpfile.ru

127.0.0.1 cheats.file-a.ru

127.0.0.1 file-space.org

127.0.0.1 sfailo.ru

127.0.0.1 sendspace.com

127.0.0.1 www.sendspace.com

127.0.0.1 fille-7.ru

127.0.0.1 loufile.ru

127.0.0.1 file-seven.com

127.0.0.1 file-a.ru

127.0.0.1 fail-7.ru

127.0.0.1 1-kk.ru

127.0.0.1 rufile.net

127.0.0.1 filexpwx.space

127.0.0.1 sfile.net

127.0.0.1 mdiskfile.com

127.0.0.1 mega.nz

127.0.0.1 dfile.su

127.0.0.1 rgfail.ru

127.0.0.1 rudwnl.ru

127.0.0.1 dfile.info

127.0.0.1 flles.ru

127.0.0.1 pool.minexmr.to


127.0.0.1 ska4ay.pl

127.0.0.1 ska4ay.ru

127.0.0.1 ska4ay.club

127.0.0.1 ska4ay.net

127.0.0.1 ska4ay.org

127.0.0.1 ska4ay.com

127.0.0.1 ska4ay.pro

127.0.0.1 ska4ay.pw

127.0.0.1 ska4ay.online

127.0.0.1 skachaty.pl

127.0.0.1 skachaty.ru

127.0.0.1 skachaty.club

127.0.0.1 skachaty.net

127.0.0.1 skachaty.org

127.0.0.1 skachaty.com

127.0.0.1 skachaty.pro

127.0.0.1 skachaty.pw

127.0.0.1 skachaty.online

127.0.0.1 skachay.pl

127.0.0.1 skachay.ru

127.0.0.1 skachay.club

127.0.0.1 skachay.net

127.0.0.1 skachay.org

127.0.0.1 skachay.com

127.0.0.1 skachay.pro

127.0.0.1 skachay.pw

127.0.0.1 skachay.website

127.0.0.1 skachay.online

127.0.0.1 ska4aty.pl

127.0.0.1 ska4aty.ru

127.0.0.1 ska4aty.club

127.0.0.1 ska4aty.net

127.0.0.1 ska4aty.org

127.0.0.1 ska4aty.com

127.0.0.1 ska4aty.pro

127.0.0.1 ska4aty.pw

127.0.0.1 ska4aty.online
0.0.0.0 analytics.ff.avast.com
0.0.0.0 ipm-provider.ff.avast.com
0.0.0.0 license.piriform.com
0.0.0.0 www.ccleaner.com
0.0.0.0 shepherd.ff.avast.com
0.0.0.0 ncc.avast.com
0.0.0.0 ncc.avast.com.edgesuite.net
0.0.0.0 ip-info.ff.avast.com

 

кое как вроде удалось все очистить, но проблему это решило не до конца. KVRT не ставится, "Ошибка загрузки драйвера" ; "Ошибка загрузки драйвера расширенного мониторинга"

CollectionLog-2021.01.21-12.26.zip

Изменено пользователем Иван71
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Не нужно сразу все логи выкладывать. Действуем последовательно.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders, L_SID : TStringList;
i : integer;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('bebca3bc90');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\Config.Msi'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var i : integer;

begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  AddToLog(fname + ' - Exists');
		  FSResetSecurity(fname);
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure Del_c_rdp;
var c_rdp: string;

begin
 c_rdp := NormalDir('%SYSTEMDRIVE%'+'\rdp');
 if DirectoryExists(NormalDir(c_rdp)) then
	  begin
		  AddToLog(c_rdp + ' - Exists');
		  FSResetSecurity(c_rdp);
		  QuarantineFile(c_rdp + 'RDPWInst.exe', '');
		  DeleteFile(c_rdp + 'RDPWInst.exe');
		  DeleteDirectory(c_rdp);
	  end;
end;

procedure Del_DisallowRun(SID_Name : string);
const
PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
DR = 'DisallowRun';
begin
 if (RegKeyExists('HKEY_USERS', SID_Name + PolExplKey + DR)) then
 begin
  AddToLog('HKEY_USERS' + SID_Name + PolExplKey + DR + ' - Exists');
  BackupRegKey('HKEY_USERS', SID_Name + PolExplKey, DR + SID_Name);
  RegKeyDel('HKEY_USERS', SID_Name + PolExplKey + DR);
  RegKeyParamDel('HKEY_USERS', PolExplKey, DR);
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 SetupAVZ('debug=y');
 if GetAVZVersion < 5.18 then begin
  ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.');
  AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
  exitAVZ;
 end;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 Del_c_rdp;
 if FileExists (ProgramData + 'RDPWinst.exe') then DeleteFile(ProgramData + 'RDPWinst.exe');
 if FileExists ('%windir%'+'\WrpYGF74DrEm.ini') then DeleteFile('%windir%'+'\WrpYGF74DrEm.ini');
 L_SID := TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun('\'+ L_SID[i]);
 L_SID.Free;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 3, 3, true);
 ExecuteSysClean;
end;

begin
 AV_block_remove;
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Ссылка на комментарий
Поделиться на другие сайты
Иван71

Иван71

Опубликовано
  • Автор
Опубликовано (изменено)

Результат загрузки:

Иван71, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.01.21_quarantine_76cdb2bad9582d23c1f6f4d868218d6c.zip

 

И еще 1, только уже из AVZ ( который отдельно, не внутри автологера ) 

 

Результат загрузки:

Иван71, Ваш карантин отправлен, спасибо!

Имя карантин-а(ов) сообщите в теме:
2021.01.21_quarantine_fb132eaede7896e3816fc11bd9da82e9.zip
Изменено пользователем Иван71
Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано
23 минуты назад, Иван71 сказал:

из AVZ ( который отдельно, не внутри автологера )

А это ещё зачем? Разве была такая рекомендация?

 

35 минут назад, Sandor сказал:

Для повторной диагностики запустите снова AutoLogger. 

И прикрепите новый CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\WindowsTask\winlogon.exe', '');
 QuarantineFileF('c:\programdata\windowstask', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\WindowsTask\winlogon.exe', '64');
 DeleteFileMask('c:\programdata\windowstask', '*', true);
 DeleteDirectory('c:\programdata\windowstask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Cleaner');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[

 

Для повторной диагностики запустите снова AutoLogger.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Иван71

Иван71

Опубликовано
  • Автор
Опубликовано (изменено)
3 минуты назад, regist сказал:

startmain.ru/ - этот сайт вам знаком? Сами его стартовым ставили?

неа. скажу больше, он нигде не стартует с него, в барузерах.. 

Изменено пользователем Иван71
Ссылка на комментарий
Поделиться на другие сайты
regist

regist

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
CHR StartupUrls: Default -> "hxxp://startmain.ru/"
FirewallRules: [{B31AE8FE-FFA8-4AE9-88F7-ED59B4639627}] => (Allow) LPort=3389
FirewallRules: [{367928DF-B206-4474-9C76-4483247FE117}] => (Allow) LPort=3389
FirewallRules: [{1641C480-0792-4463-BB6D-10E86B021B8D}] => (Block) LPort=139
FirewallRules: [{3ABD67F0-1916-4A13-9A58-9119D9AC25DD}] => (Block) LPort=139
FirewallRules: [{CDAE0927-D2D3-4EB0-B9EA-674D059365D6}] => (Block) LPort=445
FirewallRules: [{3F4E137D-8ACA-4BC4-8397-E809515202B7}] => (Block) LPort=445
FirewallRules: [{1A0ADB7E-27B5-49A6-A348-8D5F90BAF03A}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{0B1304D8-68BE-4DA5-9FCA-08BC7F88C634}] => (Block) LPort=139
FirewallRules: [{E2653F4C-1416-4744-A4CC-1DEC940DD925}] => (Block) LPort=445
FirewallRules: [{4FC1F72D-B3AC-4C90-85BF-6E92C9498B99}] => (Block) LPort=139
FirewallRules: [{7100764E-57AD-466E-AB59-67B070213737}] => (Block) LPort=445


EmptyTemp:
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
×
×
  • Создать...