Перейти к содержанию

Рекомендуемые сообщения

Недавно на ноутбуке обнаружил Майнер, через Касперский удалить не получается, вылезает после каждой перезагрузки. Логи прикрепил.

CollectionLog-2021.09.10-00.32.zip

Ссылка на сообщение
Поделиться на другие сайты
Цитата

 

MediaGet

toc

Кнопка "Яндекс" на панели задач

 

удалите через Установку программ

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\CSGOCalc', '*', true);
 DeleteDirectory('C:\ProgramData\CSGOCalc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 37.1.207.126

O22 - Task (.job): (disabled) (Not scheduled) cs_go9n.job - C:\ProgramData\CSGOCalc\CSGOCalc.exe (file missing) --main show

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
10.09.2021 в 06:33, thyrex сказал:
Цитата

MediaGet

toc

Кнопка "Яндекс" на панели задач

удалите через Установку программ

это я для кого написал?

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\Run: [MediaGet2] => C:\Users\User\MediaGet2\mediaget.exe [10449104 2021-07-06] (Global Microtrading PTE. LTD -> MediaGet)
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\MountPoints2: {727f3fb4-a123-11eb-9795-2cf05db77693} - "D:\Yota.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B12B2C4C-A53F-4A55-B3A3-0246DB090581}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{643FDB13-6C33-4341-BC82-EB8D29894CA6}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{B4CFBEBD-30A7-409E-999A-9D76C6345488}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EE2BE870-8913-4650-99DE-B68ACEBC197B}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EF248A2A-2376-465B-AE51-B9E82EFE8691}] => (Allow) C:\Program Files\Cyberpunk 2077\cyberpunk2077.exe => Нет файла
FirewallRules: [{E76C2CD1-E1B3-43E0-9AFF-E2EFEC28BB57}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䴴䤷⹆硥e => Нет файла
FirewallRules: [{05C4231F-C077-4CC1-9EF2-553AB64EC9F0}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{795FD5C5-BEB4-405E-9CDD-578CFBBC58A4}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{C6098F56-DC6D-4A61-8D3C-00027E6BFE61}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣南䱈攮數 => Нет файла
C:\Users\User\MediaGet2
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • krasniyyy
      От krasniyyy
      Приветствую, недавно наткнулся на наличие майнеров на ПК, которые находятся в локальной сети. Один из клиентов пришёл, запустил бат файл, который расплодил вирус на все ПК внутри сети.
      1.txt
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них.
    • Yonavi
      От Yonavi
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правила раздела! Евгений Касперский не помогает вылечиться от вирусов и не оказывает помощь по продуктам.
    • Xsiw
      От Xsiw
      Здравствуйте
      При проверке компьютера, KVRT ругается на mem:trojan.win64.generic.mem. Расположение: системная память. Лечение с перезагрузкой, либо без нее, вирус удаляет, но через какое то время всё возвращается, и при новой проверке снова ругается на этот же троян.
      CollectionLog-2021.11.26-11.49.zip
    • vetal747
      От vetal747
      Добрый день!
      Kaspersky регулярно обнаруживает вредоносный обьект, полная проверка не помогает:
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: HEUR:Trojan.Script.Generic
      Объект: http://pgold.pro/code\1054.js
      Причина: Экспертный анализ
       
      CollectionLog-2021.11.26-09.55.zip
    • Кеша
      От Кеша
      Недавно в диспетчере задач появились два новых процесса: WindowsInternal.ComposableShell.Experiences.TextInput.Inp и TiWorker.exe. В гугле нашёл несколько случаев, когда эти файлы описывались как  майнер, поэтому решил проверить и попросить о помощи.
      CollectionLog-2021.11.22-20.33.zip
×
×
  • Создать...