Перейти к содержанию

Помогите удалить Trojan.Win64.Miner.gen


Константин63

Рекомендуемые сообщения

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Ask Toolbar Updater

MediaGet

NetShield Kit

VКDJ

Кнопка "Яндекс" на панели задач

 

Если чего-то не будет в списке, продолжайте.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] [File is in use] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\Run: [MediaGet2] => C:\Users\kassstet\MediaGet2\mediaget.exe --minimized
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: G - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {10a15c76-0ac7-11eb-b3ea-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93d1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93e1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d610-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d61f-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {c7d12988-b915-11e9-9c18-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {e154d42d-5efa-11e2-becc-c0810669ed63} - G:\AutoRun.exe
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {2203D6C4-B1BF-42E1-97E6-1263433214BA} - \Lyrmix Update -> No File <==== ATTENTION
    Task: {266F4B60-D4D8-4DE0-A6E2-1772CE2C2BFE} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
    Task: {49BACEA1-41CC-4F4F-9A42-FAFD08B5B4E9} - \ServiceCheck_26 -> No File <==== ATTENTION
    Task: {5C718721-93AC-434A-84AB-44948D8914A9} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
    Task: {6333F1CF-3479-4A17-A037-12D2EDC996A1} - \VKDJ -> No File <==== ATTENTION
    Task: {FCEFCE12-388F-4424-A2A8-F721F209709A} - \ServiceCheck_9 -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe <==== ATTENTION
    FF Extension: (Lyrmix) - C:\Program Files (x86)\Lyrmix\133.xpi [2013-09-16] [Legacy] [not signed]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    2021-02-12 14:46 - 2020-12-06 10:56 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{4e006cda-2785-48ab-880b-8a99c1fbcae4}) (Version: 1.3.30.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData\Temp:3ED99525 [232]
    AlternateDataStreams: C:\ProgramData\Temp:63238B95 [256]
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-2587981573-3630421545-1583559577-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Программу WinThruster ставили самостоятельно?

 

В перечне установленных должен появиться

Цитата

NetShield Kit 1.3.30.0

Удалите его.

Ссылка на сообщение
Поделиться на другие сайты

насчет WinThruster не помню, может быть я ставил,система не переустанавливалась около 7 лет.

Сразу после перезагрузки вылезло сообщение ,обнаружено Trojan.Multi.GenAutorunTaskFile

Fixlog.txt

 

Trojan.Multi.GenAutorunTaskFile вылечил антивирусом, перезагрузил комп и опять вылез win 64 miner

Ссылка на сообщение
Поделиться на другие сайты

@Batyrkhan, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

@Константин63, очистите все журналы и события антивируса, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Константин63 сказал:

насчет WinThruster не помню

Удалите, если не помните.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    Task: {0F01041D-794D-414A-982B-E88AC6B8B2EE} - System32\Tasks\WinThruster64-kassstet-Notification => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: {83AE1D05-AF65-4546-AD3A-3747292A0DF5} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    Task: {A6472A57-0769-4F92-AEA3-22CE9789C49C} - \ServiceCheck_11 -> No File <==== ATTENTION
    Task: {B8505564-8E5B-4FBD-BC42-8CEED0C0EEB7} - System32\Tasks\WinThruster64-kassstet-Startup => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    Task: {CC157978-8ACD-4815-93FD-01C11E652DF8} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Notification.job => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Startup.job => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    FF user.js: detected! => C:\Users\kassstet\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2013-09-16]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    CHR HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
    CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
    CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
    CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
    SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    FirewallRules: [{1FBA75B4-5BA4-4794-9C9C-77B139698975}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    FirewallRules: [{E026FD80-86F4-4C8B-A0EC-946137CC8F29}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Попробуем еще так проверить.

 

Запустите поиск FRST c параметрами SearchAll:Flock;Flock.* и прикрепите результат сканирования (Search.txt) к следующему посту. Инструкция

Изменено пользователем akoK
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Search.txt

 

удалил зараженный flock вместе с папкой программой iobit unlocker. После перезагрузки папка с файлом вернулась на свое место

 

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Константин63 сказал:

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Пока зловред в процессе изучения, очень уж он живуч.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ilyambuss
      От Ilyambuss
      здравствуйте, неделю назад обращался сюда с такой проблемой: "после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было". это оказался майнер, сейчас проблема абсолютно идентичного характера, нужна помощь. и прошу прощения что наступаю на те же грабли и занимаю время консультантов, работающих на этом сайте 
      CollectionLog-2024.10.29-21.38.zip
    • Neovolt
      От Neovolt
      Поймал майнер от KMS. MWB находит его, и перемещает нонстопом в карантин.
      путь C:\ProgramData\Google\Chrome\updater.exe
      Логи от FRST Прилагаю. Заранее спасибо!
      FRST.zip
    • Spanch
      От Spanch
      Здравствуйте!

      При закрытом диспетчере задач ГП греется до 88 градусов в режиме простоя, при включении диспетчера резко остывает до 45гр. Если запустить диспетчер задач, то он автоматически вырубается спустя пару минут, и начинает расти температура ГП.

      Window 10, дополнительные антивирусы не скачивал. Что бы заработал браузер, скачал и запустил AV block remover (AVbr). Пока что частоты в норме после него, хотелось бы узнать осталось ли что-нибудь ещё.

      Частоты и температуры мониторил через msi afterburner.
       
      Спасибо.
      AV_block_remove_2024.10.24-22.26.log CollectionLog-2024.10.24-23.02.zip
    • Ilyambuss
      От Ilyambuss
      после нажатия клавиш Win + L ноутбук уходит в спящий (или ждущий) режим, экран гаснет через пару минут. проблема в том, что когда я оставляю ноутбук в этом режиме, то через несколько минут я слышу, как система охлаждения ноута начинает работать интенсивнее и громче, как будто происходит какой-то процесс. как только выхожу из спящего режима, всё сразу стихает, и как будто ничего и не было. началось это с недавних пор, раньше такого не было. может ли это быть какой-нибудь майнер или любой другой вирус? и грозит ли эта проблема преждевременному износу комплектующих ноута? проверки касперским никаких проблем не выявляют
      CollectionLog-2024.10.21-01.06.zip
    • yukawaii
      От yukawaii
      Здравствуйте!

      Помогите, пожалуйста, решить две проблемы:

      1) Появилась недавно. Зависает периодически Проводник (не реагирует нижняя панель проводника, альт+таб и кнопка Виндоуз на клавиатуре не реагируют) секунд на 5. При этом компьютер не висит: браузер, игры, мышь - всё работает.
      Началось около недели назад, не понимаю из-за чего.
      2) Появилась давно. Системные прерывания периодически нагружают ЦП на 100% на несколько секунд.  Если через программу Process Lasso заблокировать запуск процесса RuntimeBroker.exe, то это явление пропадает. Но тогда нельзя выключить компьютер, пока запущена Process Lasso (просто не выключается при нажатии Завершить работу).

      Проверки антивирусами ничего не находят. 
       
      CollectionLog-2024.10.14-22.01.zip
×
×
  • Создать...