Перейти к содержанию

[РЕШЕНО] Вирус Puzzle Mediа жрет оперативку


DarDOne

Рекомендуемые сообщения

Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"

CollectionLog-2021.10.17-03.47.zip

Изменено пользователем DarDOne
Ссылка на комментарий
Поделиться на другие сайты

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = Software_Reporter_Tool.exe (disabled)
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 37.1.207.126
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} - \NoAdsLogonUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F19BE97C-E56D-4CBE-B0E0-69AA9EEC9C28} - \MicrosoftEdgeUpdateTaskMachineCore (no xml)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\dardl\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-08-28] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
2021-10-16 07:09 - 2021-10-17 03:39 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-08-28 16:53 - 2021-10-16 22:15 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-08-28 16:53 - 2021-10-16 04:28 - 000000000 ____D C:\ProgramData\RobotDemo
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    NoAds 1.0.0.0 (HKLM-x32\...\{688321c8-657d-47a3-8cba-17254783a894}) (Version: 1.0.0.0 - NoAds) Hidden
    victory thank 2.2.5.88 (HKLM-x32\...\{0e8c9d58-bd7f-4162-9c07-c55491f47669}) (Version: 2.2.5.88 - Serra, Garibay y Sepúlveda SRL y Flia.) Hidden
    Whitelax 1.3.9.97 (HKLM-x32\...\{bff5d0d3-4c45-4fe0-a8a9-8e3184d007dc}) (Version: 1.3.9.97 - Sanna-Conte s.r.l. SPA) Hidden
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее

Цитата

 

NoAds 1.0.0.0

victory thank 2.2.5.88

Whitelax 1.3.9.97

 

Удалите их. Не получится стандартно, удаляйте принудительно через Geek Uninstaller

 

Также деинсталлируйте нежелательные:

Цитата

 

Driver Booster 7.6.0.766

Unchecky v1.2

 

 

Ссылка на комментарий
Поделиться на другие сайты

  • 2 weeks later...
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • sova.prod123
      От sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
    • Belzak
      От Belzak
      Здравствуйте, у меня такая- же проблема, вот мой файл
      WIN-GSIH82VECDJ_2024-10-11_22-13-38_v4.99.2v x64.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • kudyukovn
      От kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • stasmixaylovic
      От stasmixaylovic
      FRST на всякий случай )
      CollectionLog-2024.11.04-06.17.zip FRST.txt Addition.txt
    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
×
×
  • Создать...