Перейти к содержанию

[РЕШЕНО] Не могу избавиться от CoinMiner.kurgy


Microrisk

Рекомендуемые сообщения

Здравствуйте.

Примерно месяц назад процесс из папки Flock начал на 100% грузить процессор, убивал процесс через диспетчер задач, процессор успокаивался.

Некоторое время назад мой антивиру Avira при запуске компьютера сразу отправлял в карантин файл из папки ProgramData (прикрепляю скрин, что показывает Avira). Я проходил по пути, что показывал мне антивирус и полностью удалял папку Flock и вычищал корзину, но при следующем запуске системы эта папка вновь появляется там же.

Прикрепляю CollectionLog

Screenshot_1.jpg

CollectionLog-2021.02.11-19.49.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

"Пофиксите" в HijackThis:

R0 - HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://find-it.pro/?utm_source=distr_m
O9-32 - Button: HKLM\..\{8DAE90AD-4583-4977-9DD4-4360F7A45C74}: (no name) - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03BC8F56-3F9D-41E6-935D-02B489D1D69A} - \ServiceCheck_10 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{03F300FE-06D7-411B-BDDE-8F40D3C53EEE} - \ServiceCheck_23 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{07229653-2ADE-4325-8B05-5BA23E8D8F45} - \ServiceCheck_21 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{34690D2F-F688-4D24-B108-BF95E04475AF} - \ServiceCheck_9 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{414458BD-785B-4EC5-9F64-391E215149D3} - \ServiceCheck_32 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6A9614BC-D1FD-40D1-BBF7-2532695DEA63} - \ServiceCheck_3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{956E154E-98A5-4B4F-BE3C-E86E6E43EA4D} - \ServiceCheck_11 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FCB42D3C-B020-4429-A571-8E2C52C36F54} - \ServiceCheck_26 (no xml)
O22 - Task: NetShield Kit scheduled Autoupdate - C:\Program Files (x86)\NetShield Kit\cli.exe -self-upgrade (file missing)
O22 - Task: VKDJ - C:\ProgramData\VКDJ\VКDJ.exe /H (file missing)

 

 

 

Затем:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

1.

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicy-Firefox: Restriction <==== ATTENTION
    Policies: C:\Users\Aleksey\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {0D674710-481A-4F81-93B3-D6B9B3946B12} - \update-sys -> No File <==== ATTENTION
    Task: {0FBE5B35-4C5F-4847-8ABD-6D235F7E1E12} - \hZWdCklbJJKUAe -> No File <==== ATTENTION
    Task: {2EFA1DB9-AFF6-4462-B937-94AEBFF3BE5B} - \ModifyLinkUpdate -> No File <==== ATTENTION
    Task: {3370C896-1004-4931-B2B8-2C0B743A0C8B} - \ServiceCheck_22 -> No File <==== ATTENTION
    Task: {364CAEBB-0335-4025-81A5-A9B67312A9F7} - \XHzoDqsLChdlDpKJg2 -> No File <==== ATTENTION
    Task: {3D16D768-D3A5-4670-B505-A4BAFDE6B70D} - \Opera scheduled assistant Autoupdate 1582278682 -> No File <==== ATTENTION
    Task: {4A756CC4-CB26-4DBD-B191-1BF14A67621B} - \StartCN -> No File <==== ATTENTION
    Task: {6D41D4D7-B156-4B45-96B1-EBDB846F6D27} - \zWaRGDdIQUFJO2 -> No File <==== ATTENTION
    Task: {8C44AC7A-E2A2-4FDE-8FE1-E6901E853738} - \{740B8D91-9B86-44B5-AF2F-5EEC124DB57C} -> No File <==== ATTENTION
    Task: {8F78528E-9929-47D7-8A37-54947CA7EC8E} - \AMDLinkUpdate -> No File <==== ATTENTION
    Task: {9BB87747-8A83-40DE-A79A-0C32141A1DB9} - \cvc -> No File <==== ATTENTION
    Task: {A9CF0814-E7FE-468D-BAFE-BBDE57F24C36} - \ServiceCheck_8 -> No File <==== ATTENTION
    Task: {B2991FAB-4174-4551-BB8A-4BE80DA909E5} - \gZaNTwEAcszYFtGWkmA2 -> No File <==== ATTENTION
    Task: {B39EE710-5934-4DE9-B75F-C45C22CBCF46} - \StartDVR -> No File <==== ATTENTION
    Task: {B840367E-66E6-4680-A2FF-2C4F146A6FC5} - \AMDInstallUEP -> No File <==== ATTENTION
    Task: {B8C86ED5-3B1E-4D9E-BBA5-878473308DFF} - \AAct -> No File <==== ATTENTION
    Task: {BF7B3297-CF76-4F93-ABE5-AA19304E3248} - \txOoFsZvhktTFIT2 -> No File <==== ATTENTION
    Task: {F0AF0E21-32BC-4495-BE76-5167B9C28B6B} - \Adobe Flash Player NPAPI Notifier -> No File <==== ATTENTION
    Task: {F5974E6C-D999-47EE-B233-984EDEAD7DC9} - \NetShield Kit Self Repair -> No File <==== ATTENTION
    C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\meejmcfbiapijdfaadackoblffmidlig
    C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\meejmcfbiapijdfaadackoblffmidlig
    C:\Users\Aleksey\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\lpiicpcahmechbpjeaooigpehcphgjgn
    OPR DefaultSearchURL: Opera Stable -> hxxps://find-it.pro/search?q={searchTerms}
    OPR DefaultSearchKeyword: Opera Stable -> find-it.pro
    C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\aoeblpmededdgajkjbmlefkepphboide
    C:\Users\Aleksey\AppData\Roaming\Opera Software\Opera Stable\Extensions\meejmcfbiapijdfaadackoblffmidlig
    2021-02-10 06:46 - 2021-02-12 18:39 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{3047a8bb-f1fa-426a-9bd1-c70248a1be1e}) (Version: 1.3.30.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [622]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [622]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [622]
    AlternateDataStreams: C:\Users\Aleksey\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Aleksey\Application Data:NT2 [622]
    AlternateDataStreams: C:\Users\Aleksey\ntuser.ini:NTV [11734]
    AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\Aleksey\AppData\Roaming:NT2 [622]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [622]
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [137]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появится

Цитата

NetShield Kit 1.3.30.0

Удалите.

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Всё найденное удалите (поместите в карантин).

Затем, при появлении сообщения антивируса, не удаляйте его а проделайте следующее:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на комментарий
Поделиться на другие сайты

1) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

2) Удалите все установленные у вас версии Java. Они давным давно протухли.

 

3) После этого соберите свежий лог uVS.

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • monwron
      От monwron
      В процессе установки антивируса просит перезагрузить пк, перезагружаю, продолжаю установку антивируса и далее его нет НИГДЕ в системе. Ремоут тулом пк проверял, чето там нашел и удалил, но проблему не решило
      Помогите пожалуйста!
       
      CollectionLog-2024.11.15-02.50.zip
      FRST.txt Addition.txt
    • Павел11
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
    • dogmos
      От dogmos
      Прошу помощи в удалении трояна.
       


      CollectionLog-2024.11.04-13.32.zip
    • NaaR
      От NaaR
      Добрый день!
      Не получается самостоятельно удалить HEUR:Trojan.Multi.GenBadur.genw . После перезагрузки обнаруживается снова.
      Буду признателен за помощь. Спасибо.CollectionLog-2024.11.01-17.38.zip
×
×
  • Создать...