Перейти к содержанию

Не могу удалить вирус Miner


Рекомендуемые сообщения

Добрый вечер, мучаюсь весь день пытаясь удалить MIner Trojan, все тщетно, он пересоздается снова, помогите пожалуйста. Очёты сканирования Farbar приложил к сообщению.

FRST.zip

Ссылка на сообщение
Поделиться на другие сайты

На данный момент майнер обнаруживаться перестал, сейчас при загрузке Windows обнаруживается вирус

 

Название :    

Trojan.Multi.GenAutorunTaskFile.a
Точность :    Точно
Степень угрозы :    Высокая
Тип объекта :    Файл
Имя объекта :    ServiceCheck_26
Путь к объекту :    C:\Windows\System32\Tasks

 

Вот последние логи

CollectionLog-2021.02.10-17.07.zip

 

Закрыт доступ в некоторые системные инструменты : Службы, Диспетчер устройств и т.п  файл mmc.exe с неизвестным издателем, написано заблокировано Администратором. Вчера блокировку снял, сегодня опять всё повторилось. В редакторе реестра я обнаружил Неизвестных пользователей, всех лишиих удалил, после загрузки всё повторилось аналогично. 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
FF Plugin HKU\S-1-5-21-2036959927-4054236319-2101893941-1001: @acestream.net/acestreamplugin,version=3.1.32 -> C:\Users\Addie\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
FF HKLM\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\FFExt\light_plugin_firefox\addon.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_7571494CE0B94E11BB762B659A4AD71F@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.2\FFExt\light_plugin_firefox\addon.xpi => not found
FF HKU\S-1-5-21-2036959927-4054236319-2101893941-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Addie\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Guest Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchURL: System Profile -> hxxp://search-cdn.net/fip/?q={searchTerms}
2021-01-30 12:50 - 2021-01-30 12:50 - 000000000 ____D C:\Users\Все пользователи\hlxxxFfjLTHvVJnHn
2021-01-30 12:50 - 2021-01-30 12:50 - 000000000 ____D C:\ProgramData\hlxxxFfjLTHvVJnHn
2021-01-30 12:49 - 2021-01-30 12:49 - 000000000 ____D C:\Users\Все пользователи\HvfbHrPLVpftBrD
2021-01-30 12:49 - 2021-01-30 12:49 - 000000000 ____D C:\ProgramData\HvfbHrPLVpftBrD
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [486]
HKU\S-1-5-21-2036959927-4054236319-2101893941-1001\...\StartupApproved\Run: => "AceStream"
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Fixlog.txПосле перезагрузки Касперский ругался на файл Flock2.exe, напомню, первый майнер тоже появлялся в файле flock.exe, но потом исчез

 

Так же не могу подключится к службам Windows из-за запрета Администратором, к файлу C:\Windows\System32\mmc.exe имеет доступ какие то два странных пользователя "ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ" и "ВСЕ ОГРАНИЧЕННЫЕ ПАКЕТЫ ПРИЛОЖЕНИЙ"

Изменено пользователем Addie
Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
Folder: C:\ProgramData\Flock
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\ProgramData\Flock
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Очистите отчеты антивируса с найденными угрозами, выполните полную проверку и сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Kolhoznik
      Здравствуйте Начал вылезать троян минер.ген Програм дата флок..Постоянно просить вылечить,перезагружается и все по новой...Помогите.
       
      Сообщение от модератора thyrex Перенесено из темы https://forum.kasperskyclub.ru/topic/79943-ne-mogu-udalit-virus-miner/  
    • От GelenBagen
      В общем, скачал антивирус Kaspersky total security, выполнил проверку и он нашел вирус trojan.win32.miner.azf , по адресу c:\Windows\Fonts\wuauser.exe0. Нажимаю(в антивирусе) "устранить", касперский отвечает, мол лечение не возможно, и я нажимаю "удалить". Далее ничего не происходит, в интерфейсе антивируса, рядом с вирусом крутится кружок загрузки, а потом красный воскл знак.
      Пробовал удалить файл через тотл командр, но не выходит. Пишет "файл не может быть удален. Снимите защиту от записи." (это с правами админа).
      Хотел удалить через Unlocker, но он не видит такого файла.
      Так же если в панели управления виндовс включить видимость всех файлов и папок даже системных, то все равно этого файла wuauser.exe0 не видно(только в тотал командр его можно увидеть).
      CollectionLog-2017.06.29-16.53.zip
×
×
  • Создать...