Перейти к содержанию

Помогите удалить Trojan.Win64.Miner.gen


Рекомендуемые сообщения

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:
 

Цитата

 

Ask Toolbar Updater

MediaGet

NetShield Kit

VКDJ

Кнопка "Яндекс" на панели задач

 

Если чего-то не будет в списке, продолжайте.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] [File is in use] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\Run: [MediaGet2] => C:\Users\kassstet\MediaGet2\mediaget.exe --minimized
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: G - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {10a15c76-0ac7-11eb-b3ea-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93d1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {724c93e1-62d7-11e2-a662-fda5c97f5e61} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d610-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {a521d61f-5ef6-11e2-9033-d8bac475a460} - G:\AutoRun.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {c7d12988-b915-11e9-9c18-50e549cbbc21} - G:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\...\MountPoints2: {e154d42d-5efa-11e2-becc-c0810669ed63} - G:\AutoRun.exe
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {2203D6C4-B1BF-42E1-97E6-1263433214BA} - \Lyrmix Update -> No File <==== ATTENTION
    Task: {266F4B60-D4D8-4DE0-A6E2-1772CE2C2BFE} - \NetShield Kit scheduled Autoupdate -> No File <==== ATTENTION
    Task: {49BACEA1-41CC-4F4F-9A42-FAFD08B5B4E9} - \ServiceCheck_26 -> No File <==== ATTENTION
    Task: {5C718721-93AC-434A-84AB-44948D8914A9} - \SmartWeb Upgrade Trigger Task -> No File <==== ATTENTION
    Task: {6333F1CF-3479-4A17-A037-12D2EDC996A1} - \VKDJ -> No File <==== ATTENTION
    Task: {FCEFCE12-388F-4424-A2A8-F721F209709A} - \ServiceCheck_9 -> No File <==== ATTENTION
    Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe <==== ATTENTION
    FF Extension: (Lyrmix) - C:\Program Files (x86)\Lyrmix\133.xpi [2013-09-16] [Legacy] [not signed]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    2021-02-12 14:46 - 2020-12-06 10:56 - 000000000 ____D C:\ProgramData\Flock
    NetShield Kit 1.3.30.0 (HKLM-x32\...\{4e006cda-2785-48ab-880b-8a99c1fbcae4}) (Version: 1.3.30.0 - Sigma Software) Hidden
    AlternateDataStreams: C:\ProgramData\Temp:3ED99525 [232]
    AlternateDataStreams: C:\ProgramData\Temp:63238B95 [256]
    BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
    Toolbar: HKU\S-1-5-21-2587981573-3630421545-1583559577-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Программу WinThruster ставили самостоятельно?

 

В перечне установленных должен появиться

Цитата

NetShield Kit 1.3.30.0

Удалите его.

Ссылка на сообщение
Поделиться на другие сайты

насчет WinThruster не помню, может быть я ставил,система не переустанавливалась около 7 лет.

Сразу после перезагрузки вылезло сообщение ,обнаружено Trojan.Multi.GenAutorunTaskFile

Fixlog.txt

 

Trojan.Multi.GenAutorunTaskFile вылечил антивирусом, перезагрузил комп и опять вылез win 64 miner

Ссылка на сообщение
Поделиться на другие сайты

@Batyrkhan, не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

 

@Константин63, очистите все журналы и события антивируса, удалите старые и соберите новые отчёты FRST.txt и Addition.txt

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Константин63 сказал:

насчет WinThruster не помню

Удалите, если не помните.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    () [File not signed] C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe
    Task: {0F01041D-794D-414A-982B-E88AC6B8B2EE} - System32\Tasks\WinThruster64-kassstet-Notification => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: {83AE1D05-AF65-4546-AD3A-3747292A0DF5} - System32\Tasks\NetShield Kit Self Repair => C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    Task: {A6472A57-0769-4F92-AEA3-22CE9789C49C} - \ServiceCheck_11 -> No File <==== ATTENTION
    Task: {B8505564-8E5B-4FBD-BC42-8CEED0C0EEB7} - System32\Tasks\WinThruster64-kassstet-Startup => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    Task: {CC157978-8ACD-4815-93FD-01C11E652DF8} - System32\Tasks\LaunchSignup => C:\Program Files (x86)\MyPC Backup\Signup Wizard.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Notification.job => C:\Program Files\Solvusoft\WinThruster\Sync.exe <==== ATTENTION
    Task: C:\Windows\Tasks\WinThruster64-kassstet-Startup.job => C:\Program Files\Solvusoft\WinThruster\WinThruster64.exe <==== ATTENTION
    FF user.js: detected! => C:\Users\kassstet\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2013-09-16]
    C:\Users\kassstet\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
    CHR HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
    CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM-x32\...\Chrome\Extension: [jggbjbmnfmipgcanidamjfpechdeekoi]
    CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx <not found>
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl]
    CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
    CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd]
    R2 NetShieldKitSvc; C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe [7010816 2020-10-16] () [File not signed]
    HKU\S-1-5-21-2587981573-3630421545-1583559577-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://yambler.net
    SearchScopes: HKU\.DEFAULT -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    SearchScopes: HKU\.DEFAULT -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg
    FirewallRules: [{1FBA75B4-5BA4-4794-9C9C-77B139698975}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    FirewallRules: [{E026FD80-86F4-4C8B-A0EC-946137CC8F29}] => (Allow) C:\Program Files (x86)\NetShield Kit\netshieldsvc.exe () [File not signed]
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Попробуем еще так проверить.

 

Запустите поиск FRST c параметрами SearchAll:Flock;Flock.* и прикрепите результат сканирования (Search.txt) к следующему посту. Инструкция

Изменено пользователем akoK
Ссылка на сообщение
Поделиться на другие сайты

Search.txt

 

удалил зараженный flock вместе с папкой программой iobit unlocker. После перезагрузки папка с файлом вернулась на свое место

 

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Ссылка на сообщение
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

Ссылка на сообщение
Поделиться на другие сайты

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Константин63 сказал:

Походу тут только один способ избавиться от сообщения о вирусе - удалить антивирус

Пока зловред в процессе изучения, очень уж он живуч.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Кеша
      От Кеша
      Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.
      CollectionLog-2021.11.22-20.33.zip
    • dencik
      От dencik
      Поймал вирус майнер на windows 10 pro, с помощью утилиты cureit удалил его, затем с помощью kaspersky virus removal tool доловил ещё несколько вирусов, но теперь нет возможности установит например браузер аваст secure, Malwarebytes Anti-Malware и многие другие программы, так же нет возможно восстановление системы к более раннему состоянию, не видит ни точек восстановления не даже дисков на которых они были, так же наблюдаются и многие другие отклонения в работе системы, даже шрифт изменился в самом виндовс на более мелкий, кое как удалось установить касперский антивирус, но он так же ничего не находит.
    • dikl
      От dikl
      По закону жанра, при открытии диспетчера - поспешно ликвидируется до его закрытия. И снова начинает свою грязь, причем "по-божески", не загружая систему на 100%.

    • Phantom581
      От Phantom581
      Недавно я заметил что какая то программа сильно грузит мой процессор. Когда я открыл "диспетчер задач" я увидел на 2 секунды что процес под названием "Система прерывания" грузит мой компьютер а именно процессор на 100%, затем нагрузка на процессор резко понизилась а сам процесс исчез из моего поля зрения. Сам процесс не появляется и нагрузка на процессор не возникает пока открыт диспетчер задач, после закрытия "диспетчера задач" процесс появляется снова спустя некоторое время и начинает грузить мой пк. Проблем с драйверами точно нету.....
      Добрый люди пожалуйста помогите мне!
      Также забыл уточнить что я сканировал свой компьютер с помощью таких программ как Kaspersky Internet Security, Malwarebytes, HitmanPro. Программы вирус не нашли!
      CollectionLog-2021.10.20-17.54.zip
    • bxz1ngx
      От bxz1ngx
      Помогите устранить эту проблему,пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из "Технический раздел".
×
×
  • Создать...