Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирус Puzzle Mediа жрет оперативку

DarDOne

Автор DarDOne,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

DarDOne

DarDOne 0

Опубликовано
Опубликовано (изменено)

Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"

CollectionLog-2021.10.17-03.47.zip

Изменено пользователем DarDOne
Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = Software_Reporter_Tool.exe (disabled)
O17 - DHCP DNS 1: 178.175.133.58
O17 - DHCP DNS 2: 37.1.207.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 178.175.133.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{572740a9-57be-4fd1-b41d-92debf2e510c}: [NameServer] = 37.1.207.126
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} - \NoAdsLogonUpdate (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AE05A3E5-47BD-42E5-9F25-B212FD537044} (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F19BE97C-E56D-4CBE-B0E0-69AA9EEC9C28} - \MicrosoftEdgeUpdateTaskMachineCore (no xml)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\dardl\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S2 Transmission; C:\Program Files (x86)\Transmission\transmission-qt.exe [1558232 2021-08-28] (SignPath Foundation -> Transmission Project) <==== ВНИМАНИЕ
2021-10-16 07:09 - 2021-10-17 03:39 - 000000000 ____D C:\ProgramData\PuzzleMedia
2021-08-28 16:53 - 2021-10-16 22:15 - 000000000 ____D C:\Program Files (x86)\Transmission
2021-08-28 16:53 - 2021-10-16 04:28 - 000000000 ____D C:\ProgramData\RobotDemo
Reboot:
End::


2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты
thyrex

thyrex 1 473

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Sandor

Sandor 1 254

Опубликовано
Опубликовано
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
NoAds 1.0.0.0 (HKLM-x32\...\{688321c8-657d-47a3-8cba-17254783a894}) (Version: 1.0.0.0 - NoAds) Hidden
victory thank 2.2.5.88 (HKLM-x32\...\{0e8c9d58-bd7f-4162-9c07-c55491f47669}) (Version: 2.2.5.88 - Serra, Garibay y Sepúlveda SRL y Flia.) Hidden
Whitelax 1.3.9.97 (HKLM-x32\...\{bff5d0d3-4c45-4fe0-a8a9-8e3184d007dc}) (Version: 1.3.9.97 - Sanna-Conte s.r.l. SPA) Hidden
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

 

 

В перечне установленных программ появятся скрытые ранее

Цитата

 

NoAds 1.0.0.0

victory thank 2.2.5.88

Whitelax 1.3.9.97

 

Удалите их. Не получится стандартно, удаляйте принудительно через Geek Uninstaller

 

Также деинсталлируйте нежелательные:

Цитата

 

Driver Booster 7.6.0.766

Unchecky v1.2

 

 

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • DanM
      Не удается удалить троян Trojan:MSIL/Wemaeye.A
      От DanM
      Здравствуйте, обнаружил на своем компьютере Trojan:MSIL/Wemaeye.A.
      Ниже прикрепляю логи из приложения Farbar Recovery Scan Tool, помогите, пожалуйста, избавиться от этого трояна.
      logs.zip
    • Andrew11111
      [РЕШЕНО] Пользователь Klogi - вирус?
      От Andrew11111
      Доброго времени, уважаемые форумчане!
       
      На рабочем ноутбуке - Huawei при его запуске (включение) в самом начале появляется некий пользователь Klogi, который больше нигде не фигурирует. При этом сменить меня (я пользователь) на этого Klogi через виндовс невозможно, зайти за этого пользователя также не возможно (фото прикладываю).
       
      Прошу Вашей помощи в разборе этого кейса
       
       
      CollectionLog-2024.04.30-00.17.zip
    • siemensok
      [РЕШЕНО] Поймал вирусы
      От siemensok
      Приветствую. Поймал какие то вирусы. При включении ПК запускалось какое то приложение через командную строку. Проверил с помощью касперского, он что то нашел и вылечил. Воспользовался AV block remover, он нашел "левого" пользователя John и удалил его вроде как. После этого ошибка при включении ПК вроде как пропала, но боюсь что в дальнейшем может появится снова. Подскажите пожалуйста что можно ещё сделать?
      AV_block_remove_2024.04.28-12.24.log CollectionLog-2024.04.28-12.29.zip
    • dexter
      Процессы Касперского
      От dexter
      Здравствуйте. Может кто-то объяснит, что это такой за "перец" висит в памяти и  кушает больше 130 Мб памяти ?
      Где хвалёная оптимизация  продукта ? И не надо говорить, чтобы добавил ещё плашек.

    • Viachek
      Несанкционированная загрузка с/на сайт adtonus.com
      От Viachek
      На сайте есть уже аналогичный вопрос, помеченный гордым тегом "РЕШЕНО", но я повторить все действия, изложенные в той теме не смог. Написано уж больно замудрёно. Можете подсказать какой-то более понятный текст с набором действий, для людей от сохи и желательно с картинками?
×
×
  • Создать...