Goga111 0 Опубликовано 4 февраля, 2021 Share Опубликовано 4 февраля, 2021 Здравствуйте! Начал тормозить компьютер (в частности просадки фпс и "фризы" в играх и HD видео). Поскольку давно не проверял компьютер и периодически отключал защитника windows появилось подозрение на майнер. Стал скачивать KVRT и DRweb CUrelt, KVRT просто закрывался при запуске, у DRweb закрывался браузер при переходе на сайт. Перебросил Curelt со стороннего устройства через флешку и сначала в безопасном режиме, потом в обычном почистил систему (было найдено порядка 5-6 угроз в т.ч. майнеры). После этого перестал закрываться браузер, и начала обновляться система(успешно). Но вот решил выполнить для полноты ещё и проверку через KVRT и он теперь запускается, спрашивает соглашения, но не включает сканирование. Подозреваю, что какие-то угрозы ещё остались. Windows defender и drWeb ничего не находят... Ссылка на логи https://drive.google.com/file/d/1fxuiszGwSgkC-u2UcPcdAA3AIFh0ETNx/view?usp=sharing Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 4 февраля, 2021 Share Опубликовано 4 февраля, 2021 По этой ссылке Цитата Этот файл нельзя открыть, так как он нарушает Условия использования. Так что если там логи не Автологера, то соберите им согласно правилам и прикрепите во вложения. Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 4 февраля, 2021 Автор Share Опубликовано 4 февраля, 2021 Не нашёл сразу поле для вложений CollectionLog-2021.02.04-22.48.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ при наличии доступа в интернет (Файл - Выполнить скрипт): var ScriptPath : string; begin ScriptPath := GetAVZDirectory +'av_block_remove.avz'; if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('https://regist.safezone.cc/scripts/av_block_remove_o.avz', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для удаления майнера!'); exit;end; end; ExecuteRepair(9); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 (изменено) Письмо с архивом отправил, вот новые логи CollectionLog-2021.02.05-11.55.zip Изменено 5 февраля, 2021 пользователем Goga111 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 Готово Addition.txt FRST.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [460] BHO-x32: No Name -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> No File FirewallRules: [{0D672A40-8B8F-4BBE-8D5A-54FE173D94BE}] => (Allow) LPort=135 FirewallRules: [{9836A1F1-DD3B-421C-920C-EC0BED6F2180}] => (Allow) LPort=500 FirewallRules: [{4F342188-E73E-44C4-AA1B-7675405CE08A}] => (Allow) LPort=4500 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 Извиняюсь, не разобрался с запуском через fixlist. Вот лог уже с фиксом при помощи вашего скрипта Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 Проблема решена? Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 Да, сканирование запустилось, спасибо вам большое! Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 Завершающие шаги: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Goga111 0 Опубликовано 5 февраля, 2021 Автор Share Опубликовано 5 февраля, 2021 (изменено) KVRT просканировал, ничего не нашлось SecurityCheck.txt Изменено 5 февраля, 2021 пользователем Goga111 Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 5 февраля, 2021 Share Опубликовано 5 февраля, 2021 И это хорошо --------------------------- [ OtherUtilities ] ---------------------------- Notepad++ (64-bit x64) v.7.5.8 Внимание! Скачать обновления Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Oracle VM VirtualBox 6.1.2 v.6.1.2 Внимание! Скачать обновления Node.js v.12.14.0 Внимание! Скачать обновления ^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^ Microsoft Office Professional Plus 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Word 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice NVIDIA GeForce Experience 3.17.0.126 v.3.17.0.126 Внимание! Скачать обновления Python 3.7.6 (64-bit) v.3.7.6150.0 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.61 (64-разрядная) v.5.61.0 Внимание! Скачать обновления ------------------------------- [ Imaging ] ------------------------------- paint.net v.4.2.13 Внимание! Скачать обновления -------------------------- [ IMAndCollaborate ] --------------------------- Microsoft Teams v.1.3.00.24755 Внимание! Скачать обновления Zoom v.5.0 Внимание! Скачать обновления Skype, версия 8.67 v.8.67 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.45852 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Java ] --------------------------------- Java 8 Update 211 (64-bit) v.8.0.2110.12 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u281-windows-x64.exe)^ Java SE Development Kit 8 Update 211 (64-bit) v.8.0.2110.12 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE Development Kit (jdk-15.0.2_windows-x64_bin.exe). --------------------------- [ AdobeProduction ] --------------------------- Adobe AIR v.31.0.0.96 Внимание! Скачать обновления Adobe Flash Player 32 PPAPI v.32.0.0.465 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее. ------------------------------- [ Browser ] ------------------------------- Opera Stable 73.0.3856.344 v.73.0.3856.344 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ---------------------------- [ UnwantedApps ] ----------------------------- Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Читайте Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения