Перейти к содержанию

Trojan.Win64.Miner.gen нужна помощь


Рекомендуемые сообщения

Здравствуйте!

 

Начните со стандартных логов, другими словами выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {4C5C32FF-BB9D-43B0-B5B4-2D72E54EAAA4} = D:\Сергей\Saved Games
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {56784854-C6CB-462B-8169-88E350ACB882} = D:\Сергей\Contacts
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {7D1D3A04-DEBB-4115-95CF-2F29DA2920DA} = D:\Сергей\Searches
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, {BFB9D5E0-C6A9-404C-B2B2-AE6DB6AF4968} = D:\Сергей\Links
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, {374DE290-123F-4565-9164-39C4925E467B} = D:\Сергей\Downloads
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Desktop = D:\Сергей\Desktop
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Favorites = D:\Сергей\Favorites
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Music = D:\Сергей\Music
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Pictures = D:\Сергей\Pictures
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, My Video = D:\Сергей\Videos
O7 - KnownFolder: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Personal = D:\_home_admin_many-books.org_6_35713

сами переназначали папки?

Ссылка на сообщение
Поделиться на другие сайты

1) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

2) В настройках роутере DHCP DNS 1: 192.168.0.1 исправьте на DNS провайдера. Кстати, какой у вас провайдер?

3) После предыдущего пункта

"Пофиксите" в HijackThis:

O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 185.192.111.210
O17 - HKLM\System\CCS\Services\Tcpip\..\{d763e4bd-5627-11ea-b808-806e6f6e6963}: [NameServer] = 37.59.58.122
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = localdomain
O22 - Task: DownloadStudio Standalone Updater - C:\Program Files (x86)\Download Studio\dstudio-gui.exe --self-update (file missing)
O22 - Task: Opera scheduled assistant Autoupdate 1582725136 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O22 - Task: Opera scheduled Autoupdate 1582457703 - C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (file missing)

4) Соберите свежие логи по правилам.

 

 

Ссылка на сообщение
Поделиться на другие сайты

В настройках роутера DHCP DNS 1: 0.0.0.0 Провайдер Beeline Череповец

 

virusinfo_files отправил

 

CollectionLog-2021.02.17-16.26.zip

 

С работы гонят . Если можно завтра продолжим.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, alexander256 сказал:

0.0.0.0

Но это же не является

 

3 часа назад, regist сказал:

DNS провайдера.

Пропишите там явно его DNS.

 

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

 

DNS на роутере пропишите, затем ещё такой лог соберите.

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

  1. Скачайте Universal Virus Sniffer (uVS).
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.11 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemDrive%\PROGRAMDATA
    crimg
    
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день! Роутеры стоят в каскаде. До первого роутера нет возможности добраться. Если инет подключить с usb модема - пойдет собрать логи?

Ссылка на сообщение
Поделиться на другие сайты

На кибер-форуме тоже ваша тема? Если да, там закрою, т.к. лечить следует в одном месте, иначе рискуете себе же навредить.

Ссылка на сообщение
Поделиться на другие сайты
56 минут назад, alexander256 сказал:

Роутеры стоят в каскаде. До первого роутера нет возможности добраться.

Ладно, тогда это пока оставим. Просто этот вирус прописывает свой DNS на роутере, поэтому чтобы быть уверенным, что вы работаете не через троянский очень желательно явно видеть в логе (можете читать как в ipconfig /all), что выдаётся правильный DNS именно от вашего провайдера, а не что-то там замаскированное.

20 часов назад, regist сказал:

NetShield Kit 1.3.28.0 - сами ставили? Если нет, то деинсталируйте его.

Поправлюсь, удалите в обязательном порядке.

Ссылка на сообщение
Поделиться на другие сайты

Добрый день! NetShield Kit 1.3.28.0 - хвосты только в реестре , физически на диске только в карантине advcleaner-а , реестр почищен карантин удален. Пересоздал логи с модемного подключения.

CollectionLog-2021.02.19-11.39.zip FRST.txt Addition.txt

 

Лог uVS.

DESKTOP-INEPHQU_2021-02-19_11-57-35_v4.11.3.7z

Ссылка на сообщение
Поделиться на другие сайты
Цитата

ACDSeeCommanderPro11.exe (KpoJIuK)

Репаки этого Кролика очень часто и являются причиной заражения, так как он разную вирусно/рекламную дрянь внуть пихает.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a298-16de-11eb-b866-bc5ff445677b} - "E:\setup.exe" 
    HKU\S-1-5-21-1284106285-4252166988-2880904218-1001\...\MountPoints2: {35c4a2bc-16de-11eb-b866-bc5ff445677b} - "F:\setup.exe" 
    2021-02-07 13:51 - 2021-02-18 10:32 - 000000000 ____D C:\ProgramData\Flock
    2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\ProgramData\yandexBrowserDownloader.exe
    2020-09-09 16:26 - 2020-09-09 16:26 - 000187712 _____ () C:\Users\Все пользователи\yandexBrowserDownloader.exe
    FirewallRules: [{ED94C494-014F-41DE-80B1-6F01046BA1F9}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
    FirewallRules: [{C9EEB0B6-99EF-4A33-A09D-1065728AEC8D}] => (Allow) C:\Program Files (x86)\Download Studio\QtWebEngineProcess.exe => No File
    FirewallRules: [{F6E259EC-007B-4BAF-B795-03E9627BE35F}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
    FirewallRules: [{96D98EF4-CB77-47D3-B43A-2F65ED1F88FD}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
    FirewallRules: [{0C73C0A7-9665-4B5B-80F9-96F7426DB8C3}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio-gui.exe => No File
    FirewallRules: [{5DCB5D62-26FE-42CA-8D94-831FD40AC5CE}] => (Allow) C:\Program Files (x86)\Download Studio\dstudio.exe => No File
    FirewallRules: [{7B198DA1-275E-4E78-B533-2F109EE6E82F}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.189\opera.exe => No File
    FirewallRules: [{10816F7C-FAEA-4EAC-92E2-226A921697B9}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Programs\Opera\70.0.3728.178\opera.exe => No File
    FirewallRules: [{7A996766-B0A2-4E1A-A849-D831BC2E415A}] => (Allow) C:\Users\СЕРГЕЙ\AppData\Local\Orbitum\Application\chrome.exe => No File
    FirewallRules: [UDP Query User{E9F5493F-C9D4-4A07-9218-8E21F3AD9F52}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
    FirewallRules: [TCP Query User{F3D67A76-30CC-4A08-BA68-4AC2ADE00CA8}E:\drivers\sdi_x64_r1909.exe] => (Allow) E:\drivers\sdi_x64_r1909.exe => No File
    FirewallRules: [UDP Query User{97AEF245-49C4-45B3-8806-C1A850B2B127}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
    FirewallRules: [TCP Query User{8478292C-1477-47B4-B6DD-2856D3CE9FDB}D:\сергей\desktop\проект\ospanel\open server x64.exe] => (Allow) D:\сергей\desktop\проект\ospanel\open server x64.exe => No File
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
  • Загрузите SecurityCheck by glax24 & Severnyj отсюда и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

Выполните рекомендации после лечения.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Рома Морозов
      Словил Minerd.exe.(В названии ошибка).Растерялся,когда увидел,что он ест много ресурсов компьютера.Удалил Minerd.exe,и больше он не появляется в процессах.Однако,видимо он остался.Система теперь тормозит,хотя компьютер не загружен особо.
      CollectionLog-2017.11.17-14.31.zip
×
×
  • Создать...