Перейти к содержанию
Правила раздела

Вирус Powershell и майнер. спамит постояно

Twogush

Автор Twogush
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Twogush

Twogush

Опубликовано
Опубликовано

Здравствуйте.

Каждые пару недель появляется майнер в папке C:\ProgramData\Windows и недавно каждый час выскакивает Powershell троян, который автоматически гаситься авастом.

CollectionLog-2021.10.27-01.23.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('N:\autorun.inf', '');
 DeleteSchedulerTask('Microsoft\Windows\Defrag\Defrag');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lostintired
      Вирус-майнер CAAServices.exe
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      [РЕШЕНО] Наличие вируса/автозагрузка майнера на компьютере.
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Amurkin
      Подозрение на майнер
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
×
×
  • Создать...