Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Лере Прокопенко, системному аналитику Kaspersky eSIM Store

[РЕШЕНО] Вирус Puzzle Mediа жрет оперативку

DarDOne

Автор DarDOne
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DarDOne

DarDOne

Опубликовано
Опубликовано (изменено)

Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"

CollectionLog-2021.10.17-03.47.zip

Изменено пользователем DarDOne
thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = Software_Reporter_Tool.exe (disabled)
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 37.1.207.126
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} - \NoAdsLogonUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F19BE97C-E56D-4CBE-B0E0-69AA9EEC9C28} - \MicrosoftEdgeUpdateTaskMachineCore (no xml)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\dardl\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-08-28] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
2021-10-16 07:09 - 2021-10-17 03:39 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-08-28 16:53 - 2021-10-16 22:15 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-08-28 16:53 - 2021-10-16 04:28 - 000000000 ____D C:\ProgramData\RobotDemo
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

DarDOne

DarDOne

Опубликовано
  • Автор
Опубликовано (изменено)

Решена, ещё раз проверил, вирусов не найдено.

Изменено пользователем DarDOne
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
  • 2 недели спустя...
Sandor

Sandor

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
NoAds 1.0.0.0 (HKLM-x32\...\{688321c8-657d-47a3-8cba-17254783a894}) (Version: 1.0.0.0 - NoAds) Hidden
victory thank 2.2.5.88 (HKLM-x32\...\{0e8c9d58-bd7f-4162-9c07-c55491f47669}) (Version: 2.2.5.88 - Serra, Garibay y Sepúlveda SRL y Flia.) Hidden
Whitelax 1.3.9.97 (HKLM-x32\...\{bff5d0d3-4c45-4fe0-a8a9-8e3184d007dc}) (Version: 1.3.9.97 - Sanna-Conte s.r.l. SPA) Hidden
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее

Цитата

 

NoAds 1.0.0.0

victory thank 2.2.5.88

Whitelax 1.3.9.97

 

Удалите их. Не получится стандартно, удаляйте принудительно через Geek Uninstaller

 

Также деинсталлируйте нежелательные:

Цитата

 

Driver Booster 7.6.0.766

Unchecky v1.2

 

 

  • 2 недели спустя...
thyrex

thyrex

Опубликовано
Опубликовано

Попробуйте найти все упоминания указанных программ поиском в реестре и удалите найденные записи

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Quester1337
      Подозрение на вирус - рат
      Автор Quester1337
      Скачал программу Exloader и чуть упала производительность пк, поэтому есть подозрения, что возможно вирус, тогда есть ли вариант оставить ос и удалить его? или лучше снести виндовс? логи прилагаю.
      CollectionLog-2026.04.13-04.06.zip FRST.txt Addition.txt
    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • Рязанский
      [РЕШЕНО] долго загружается, нет панелей окон и значков (возле часов)
      Автор Рязанский
      поймал вирус, пролечил Dr.Web CureIt!, через некоторое время пропала панель окон, пропали значки, загрузка замедлилась.
      Создал новую учетную запись - дня три работала нормально, затем всё повторилось, как на прежней.
      Есть ещё одна учётка, ограниченная - в ней всё работает.
      Сейчас проверил Kaspersky Virus Removal Tool ничего подозрительного не нашёл.
      В журнале системы ошибки: "Служба "bits" завершена из-за ошибки Не удается найти указанный файл.", "Служба "UsoSvc" завершена из-за ошибки Не удается найти указанный файл.", "Служба "wuauserv" завершена из-за ошибки Не удается найти указанный файл."
      Лог из AutoLogger вложил.
       
      CollectionLog-2026.04.03-22.00.zip
    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
    • Kirl
      [РЕШЕНО] Проблема с ScreenConnect (возможно ратник?)
      Автор Kirl
      CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо
×
×
  • Создать...