Перейти к содержанию

Рекомендуемые сообщения

Недавно на ноутбуке обнаружил Майнер, через Касперский удалить не получается, вылезает после каждой перезагрузки. Логи прикрепил.

CollectionLog-2021.09.10-00.32.zip

Ссылка на сообщение
Поделиться на другие сайты
Цитата

 

MediaGet

toc

Кнопка "Яндекс" на панели задач

 

удалите через Установку программ

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 SetServiceStart('Transmission', 4);
 DeleteFile('C:\Program Files (x86)\Transmission\Qt5Core.dll','32');
 DeleteFile('c:\program files (x86)\transmission\transmission-qt.exe','32');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission');
 DeleteFileMask('C:\ProgramData\CSGOCalc', '*', true);
 DeleteDirectory('C:\ProgramData\CSGOCalc');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{19daf39f-74f7-4d8c-b7d8-7244c1b1aff7}: [NameServer] = 37.1.207.126

O22 - Task (.job): (disabled) (Not scheduled) cs_go9n.job - C:\ProgramData\CSGOCalc\CSGOCalc.exe (file missing) --main show

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
10.09.2021 в 06:33, thyrex сказал:
Цитата

MediaGet

toc

Кнопка "Яндекс" на панели задач

удалите через Установку программ

это я для кого написал?

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Folder: C:\ProgramData\FingerPrint
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\Run: [MediaGet2] => C:\Users\User\MediaGet2\mediaget.exe [10449104 2021-07-06] (Global Microtrading PTE. LTD -> MediaGet)
HKU\S-1-5-21-4018153185-1518525388-3067504673-1001\...\MountPoints2: {727f3fb4-a123-11eb-9795-2cf05db77693} - "D:\Yota.exe" 
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
FirewallRules: [{B12B2C4C-A53F-4A55-B3A3-0246DB090581}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{643FDB13-6C33-4341-BC82-EB8D29894CA6}] => (Allow) C:\Users\User\MediaGet2\mediaget.exe (Global Microtrading PTE. LTD -> MediaGet)
FirewallRules: [{B4CFBEBD-30A7-409E-999A-9D76C6345488}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EE2BE870-8913-4650-99DE-B68ACEBC197B}] => (Allow) C:\Users\User\MediaGet2\QtWebEngineProcess.exe (The Qt Company Oy -> The Qt Company Ltd.)
FirewallRules: [{EF248A2A-2376-465B-AE51-B9E82EFE8691}] => (Allow) C:\Program Files\Cyberpunk 2077\cyberpunk2077.exe => Нет файла
FirewallRules: [{E76C2CD1-E1B3-43E0-9AFF-E2EFEC28BB57}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣䴴䤷⹆硥e => Нет файла
FirewallRules: [{05C4231F-C077-4CC1-9EF2-553AB64EC9F0}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{795FD5C5-BEB4-405E-9CDD-578CFBBC58A4}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{C6098F56-DC6D-4A61-8D3C-00027E6BFE61}] => (Allow) 㩃啜敳獲啜敳屲灁䑰瑡屡潒浡湩屧潴屣南䱈攮數 => Нет файла
C:\Users\User\MediaGet2
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Максим Павельев
      Добрый день.
      KES 11.1.1.126
      KSC 11
       
      на все библиотеки Miranda ругается, при запуске батника. У других 68 пользователей такого нет(Соответственно базы у всех одинаковые), что можно сделать?
      естественно ничего вредоносного нет
       
       
       

    • От Sophinator
      Добрый день!
       
      Заметила, что стал тупить ноутбук (MSI GF63), хотя раньше за ним такого не замечала никогда. Зависает, когда переношу файлы в проводнике, при пользовании Хромом и Microsoft Edge (я в нём PDF-файлы просматриваю). И меня заблокировали в некоторых социальных сетях, в которые я заходила через браузер. Решила проверить на вирусы, Microsoft Defender выявил 2 угрозы (вложения 1, 2). Торрент - оно понятно, телеграм раньше тоже считала, что ругается просто на приложение стороннее, но загуглила про Uwasson, отправила лечиться и удаляться. Телеграм вроде как работает.
      Скачала dr.web.cureit, прогнала им, ничего не нашёл вроде (файл под названием cureit.log во вложениях). Полезла в интернет, нашла этот форум, скачала malwarebytes, ещё и им прогнала (отчёт в файле .txt под названием virus). Нашёл ещё заражённый файл, но в интернете я ничего толкового понять не смогла, а расположение пугает.
       
      Логи собрала, файл также во вложениях.
       
      Буду рада помощи, а ещё больше буду рада, если мне скажут, что это всё ок и я паникёрша.
       
      Спасибо!
       


      CollectionLog-2021.10.01-09.11.zip virus.txt cureit.log
    • От bxz1ngx
      Помогите устранить эту проблему,пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из "Технический раздел".
    • От Kapllon
      Здравствуйте, Уважаемые умельцы. Прошу не ставить бан, я просто хочу сделать все по честному прошу помочь, мне удалить троян за это я готов перевести 500 руб человеку кто решит помочь, ибо Вы мне помогли я Вам. Скачал пиратку Диабло 2, да да, я дурак сам виноват. Теперь при включении пк резкая нагрузка на цп в 70-100 %, если включаю диспетчер задач, падает до рабочего состояния, + видюха тоже до 100 поднимается, если запустить игру. Помогите удалить через тим вивер. Благодарю.
      Переустановка винды, не помогла, ибо диск Очистить не могу.
    • От valentin_ubuntu
      Здравствуйте.
      Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
      После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
      Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
      Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
      При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.
      находит: C:\ProgramData\xmrig.cmd
      и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe
      оба файла, после удаления, появляются вновь.
      smb протокол "Запилен"
      cureit находит кучу dll (скриншот прилагаю)
      Сделал сбор логов с помощью AutoLogger.exe

      CollectionLog-2021.09.08-16.00.zip
×
×
  • Создать...