Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

Помогите удалить майнер

Dreal

Автор Dreal
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Dreal

Dreal

Опубликовано
Опубликовано

Начал тормозить ПК, при открытии диспетчера задач нагрузка на ЦП и ГПУ падает до нормы. Через некоторое время диспетчер задач самостоятельно закрывается.

Проверка KVRT нашла майнер, удалил. Теперь вылазит окно

e161da89c0.png

CollectionLog-2021.09.05-12.32.zip report_2021.09.05_11.24.38.klr.rar

Dreal

Dreal

Опубликовано
  • Автор
Опубликовано

Через AutoRuns отключил запуск 1.vbs

Но осталось

b87a936618.png

 

Их отключить не получается.

Запускал от имени администртора

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям.
В результате работы утилиты появится отчёт AV_block_remove.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

Sandor

Sandor

Опубликовано
Опубликовано
2 минуты назад, Dreal сказал:

dll от майнера

Вы в этом уверены?

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Dreal

Dreal

Опубликовано
  • Автор
Опубликовано
1 minute ago, Sandor said:

Вы в этом уверены?

В KVRT их удалил как вредоносные, остались лишь эти ссылки. Не факт что от майнера.

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\Dreal\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Dreal\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{9A5E237D-1D78-4D21-AC38-15B8BA14A614}] => (Allow) LPort=1688
FirewallRules: [{AA894AE7-1E15-4007-ACEF-499E6BB4D18F}] => (Allow) C:\ProgramData\Windows\Profile\dllhostn.exe => Нет файла
FirewallRules: [{63CD5DAE-820D-47A0-B90C-D4089C92BFBD}] => (Allow) C:\ProgramData\Windows\Profile\wasp.exe => Нет файла
FirewallRules: [{2B0C1927-6E09-4311-9974-951B69D4A7C8}] => (Allow) C:\ProgramData\Windows\Profile\waspwing.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Chernov
      Схватил Майнер, не даёт запускать антивирусы и сайты
      Автор Chernov
      Здравствуйте, схватил майнер и он не даёт запускать никаких утилит. Что делать!?!?!
      В автозагрузке есть подозрительный файл: Father. Его я уже снял с автозагрузки. 
    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
    • Kirl
      [РЕШЕНО] Проблема с ScreenConnect (возможно ратник?)
      Автор Kirl
      CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо
    • Dazzling
      Вредоносное ПО
      Автор Dazzling
      Сначала присылал ошибку пытался посмотреть файл и меня выкинуло из папки прошу прислать мне скрипт для полной очистки
      F.zip
×
×
  • Создать...