Перейти к содержанию

Поймал майнер с навзванием PuzzleMedia.


Рекомендуемые сообщения

CollectionLog-2021.09.30-15.48.zip Нагружает процессор до 100% пока диспетчер задач не работает,после открытия сразу же вырубается

 

Сообщение от модератора Mark D. Pearlstone
Темы объединены.
33 минуты назад, Mark D. Pearlstone сказал:

Так лучше?

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте нижнюю форму быстрого ответа.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '');
 DeleteSchedulerTask('AdwCleaner_onReboot');
 DeleteSchedulerTask('puzzleCheck_ZN');
 DeleteSchedulerTask('UDLUpdater');
 DeleteFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 


Прикрепите к следующему сообщению свежий CollectionLog.
 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты
41 минуту назад, Sandor сказал:

Здравствуйте!

 

Не цитируйте, пожалуйста, полностью предыдущее сообщение. Используйте нижнюю форму быстрого ответа.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):


begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '');
 DeleteSchedulerTask('AdwCleaner_onReboot');
 DeleteSchedulerTask('puzzleCheck_ZN');
 DeleteSchedulerTask('UDLUpdater');
 DeleteFile('C:\ProgramData\PuzzleMedia\PuzzleMedia.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 


Прикрепите к следующему сообщению свежий CollectionLog.
 

Если что-то опять не так процитировал,извиняюсь.Я не особо сижу на форумах

CollectionLog-2021.09.30-18.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Вот поле, о котором я говорил:

image.thumb.png.1ec56731581c929629a60bab16567a04.png

 

Логи выглядят значительно лучше.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Дочистим кое-какой мусор.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {18d23b6d-1093-11eb-9806-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {289d69db-4aba-11eb-9817-1c1b0dff3a66} - "G:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {4a33dbac-8e1f-11ea-97d7-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {54dcb512-2033-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {54dcb52d-2033-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {69d41c01-f5c6-11ea-97ff-1c1b0dff3a66} - "G:\Setup.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {7241a8c6-26be-11eb-9808-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {8ec95d77-7641-11ea-97c2-1c1b0dff3a66} - "E:\Setup.exe" 
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\...\MountPoints2: {e70369f4-412a-11eb-9812-1c1b0dff3a66} - "E:\HiSuiteDownLoader.exe" 
    GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {2D8A7010-1810-4E44-A6F6-1B41DAA50EF5} - \puzzleCheck_L0 -> Нет файла <==== ВНИМАНИЕ
    Task: {2D962FCE-2DC2-4067-8938-25B008E3329B} - System32\Tasks\NoAdsLogonUpdate => C:\Users\Jojo\AppData\Local\Programs\NoAds\upd.exe [1685220 2021-08-21] (NoAds) [Файл не подписан]
    Task: {3D04EE9D-F361-45FF-B920-5AEAB193DD26} - \puzzleCheck_ZN -> Нет файла <==== ВНИМАНИЕ
    Task: {7973FEB7-1207-4CE6-B3A8-83F076729F08} - \puzzleCheck_Wk -> Нет файла <==== ВНИМАНИЕ
    CHR HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
    AlternateDataStreams: C:\Users\Jojo\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Jojo\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490]
    HKU\S-1-5-21-2844337585-3638865791-2778436189-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
    FirewallRules: [{24D47E8C-14CD-4A5B-89B9-D11BC3D598E1}] => (Allow) C:\Users\Jojo\AppData\Roaming\wsappx.exe => Нет файла
    FirewallRules: [{D86DA239-9C6C-4E46-91B3-92F2DEB517B0}] => (Allow) C:\Users\Jojo\AppData\Roaming\wsappx.exe => Нет файла
    FirewallRules: [{A63F1D4A-8A36-47E8-A399-61A2231B8BB4}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{50644D63-1160-4245-B6F4-8C3CD5AA9AE3}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{E2B28B18-FD27-477B-8458-2AD9819FA4C3}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{A400349E-1F68-4E79-8B7A-CE86F34B9AB0}] => (Allow) D:\Enlisted\launcher.exe => Нет файла
    FirewallRules: [{A41EC987-216B-4396-8AF6-5483F734FB23}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{5C7AD4FA-49C2-4F39-B29D-17D606125891}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{61A4B707-5A74-41AE-8DD1-F7A93FC1B443}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{9D6ABA85-3B76-4690-A0AA-65C94E099137}] => (Allow) D:\Enlisted\bpreport.exe => Нет файла
    FirewallRules: [{7953BFE2-07D1-4776-A80B-FAB797D02F82}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{4B2D7ABD-8CB3-41E8-99E2-76B37ACAB497}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{06F834D1-8491-4609-B1A7-FA1602917CEC}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{A1195E6D-00A0-47D6-BAE9-B1734EEFD2B6}] => (Allow) D:\Enlisted\gaijin_downloader.exe => Нет файла
    FirewallRules: [{554C127B-3077-4371-B9A3-902A18042268}] => (Allow) LPort=80
    FirewallRules: [{A09F72E2-7B82-49E0-B1C9-DA216AD4DFBD}] => (Allow) LPort=80
    FirewallRules: [{3A013A48-DAC7-4D3F-9A59-461F4A23C5BE}] => (Allow) LPort=443
    FirewallRules: [{C9C3F6D9-529B-4F8C-B6E8-8627D86A909C}] => (Allow) LPort=443
    FirewallRules: [{02E26886-DA00-4A3D-9507-B82C8610E199}] => (Allow) LPort=20010
    FirewallRules: [{22217F0A-0DA8-43EE-A5CC-B8DDD2CD79E2}] => (Allow) LPort=20010
    FirewallRules: [{B4B8D2AA-D29A-42D5-82B6-E9A4F774B7BD}] => (Allow) LPort=3478
    FirewallRules: [{4EE748E2-2B8A-4382-8DA1-5C4F0316925D}] => (Allow) LPort=3478
    FirewallRules: [{7CB2F4D9-AEE0-4783-BDA9-AE0879224533}] => (Allow) LPort=7850
    FirewallRules: [{35DCB905-91B5-4CF4-8945-2E82B47FD432}] => (Allow) LPort=7850
    FirewallRules: [{FDA14451-84A3-4E41-9EB9-1D1E3D5098B0}] => (Allow) LPort=7852
    FirewallRules: [{9E10AF0C-63D9-4E06-A396-0AA48BC2651D}] => (Allow) LPort=7852
    FirewallRules: [{EDB75823-250A-4B30-AE23-29324B9D17E7}] => (Allow) LPort=7853
    FirewallRules: [{078213CE-DA3D-4FBE-8F3D-3F121DF3B412}] => (Allow) LPort=7853
    FirewallRules: [{73E2B828-472C-4AC1-8859-F6FFF4DCFCAE}] => (Allow) LPort=27022
    FirewallRules: [{DF479E17-FBB9-44AE-91A9-A022F45575CB}] => (Allow) LPort=27022
    FirewallRules: [{42D1D334-EC57-477E-B8F9-09AC52EE5EE4}] => (Allow) LPort=6881
    FirewallRules: [{955822F1-B251-441C-8323-08FF7FF80BC3}] => (Allow) LPort=6881
    FirewallRules: [{18191398-1036-4EC5-8A67-7050D935E487}] => (Allow) LPort=33333
    FirewallRules: [{81BE79A1-3ABB-490F-86ED-A989C489DB8E}] => (Allow) LPort=33333
    FirewallRules: [{6ECC81BB-CD1D-45A9-8074-5C82761C3BC1}] => (Allow) LPort=20443
    FirewallRules: [{63BB8F24-5062-49A2-9316-2CD0BD94A4A9}] => (Allow) LPort=20443
    FirewallRules: [{29197414-42D4-43AF-9013-8A8A35C4C522}] => (Allow) LPort=8090
    FirewallRules: [{7BB612E8-E1F8-4805-AEE1-97BB17777CF6}] => (Allow) LPort=8090
    FirewallRules: [{06CDF48D-E896-4311-8119-8C3C2B43463B}] => (Allow) LPort=1688
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема решена, завершающие шаги:

 

1. Выполните процедуру, описанную на этой странице.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • djjg25
      От djjg25
      Касперский вирус ремовал тул нашёл 37 вирусов. Я не знаю как вирус попал на мой пк и что с ним делать. Антивирусов никогда на этот компьютер не ставил, только на прошлый, диск от которого вставил в этот. Пользуюсь только виндоус дефендером. 
      CollectionLog-2024.03.27-18.39.zip
    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
×
×
  • Создать...