Вирус майнер

Printable View

30.08.2023, 17:58
Kolobok85

Вложений: 1

Вирус майнер

Добрый день. Вирус майнер под видомReacted hd.
Танцы с бубном установки антивируса, скачивание через телефон, переименование, облако, скачка на комп.
Итог:
Dr web cure it запускается в обычном режиме, видит вирус, удаляет, перезагрузка - всё по новой.
Av block removal запускается в безопасном режиме. Видит вирус, удаляет, перезагрузка - по новой
30.08.2023, 18:00
Info_bot

Уважаемый(ая) [B]Kolobok85[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
30.08.2023, 21:07
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
DeleteFile('C:\ProgramData\Microsoft\NetFramework\Bisinwxyevch8Avod\Game.exe', '64');
DeleteFile('C:\ProgramData\Microsoft\NetFramework\Bisinwxyevch8Avod\RecoveryManagerL.bat', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '64');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '');
DeleteFileMask('c:\programdata\microsoft\netframework\bisinwxyevch8avod', '*', true);
DeleteFileMask('c:\programdata\reaitekhd', '*', true);
DeleteFileMask('c:\programdata\windowstask', '*', true);
DeleteDirectory('c:\programdata\microsoft\netframework\bisinwxyevch8avod');
DeleteDirectory('c:\programdata\reaitekhd');
DeleteDirectory('c:\programdata\windowstask');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\Bisinwxyevch8Avod');
DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\RecoveryHosts');
DeleteSchedulerTask('Microsoft\Windows\RecoveryManagerL\RecoveryTask');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Hor');
ExecuteSysClean;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

Снова запустите AV block remove в обычном режиме, лог выполнения приложите.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
31.08.2023, 16:29
Kolobok85

Вложений: 1

При выполнении скрипта Ошибка: too many actual parameters в позиции 14:16
RegKeyParamDel('HKEY_LOCAL_MACHINE

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Запутался в переименованных мною папках программ. Сделал всё по инструкции. Признаков вируса не вижу
31.08.2023, 21:34
Vvvyg

[QUOTE=Kolobok85;1528687]При выполнении скрипта Ошибка: too many actual parameters в позиции 14:16
RegKeyParamDel('HKEY_LOCAL_MACHINE[/QUOTE]
В старой версии пытались выполнить?

[QUOTE=Kolobok85;1528687]Запутался в переименованных мною папках программ. Сделал всё по инструкции. Признаков вируса не вижу[/QUOTE]
Не всё. Я просил лог выполнения AVBR после выполнения скрипта лечения. Вы AVBR, похоже, не запускали,а он убирает некоторые блокировки, которые в логах AVZ и FRST не видны. Ну и засунуть логи FRST в архив CollectionLog конечно, нестандартное решение :>

Рекомендации выполняются полностью и именно в том порядке, в котором даны, а вы один пункт проскочили. Так что, будьте добры 1) запустить ещё раз AV block remove и приложить его лог; 2) после этого сделать новые логи FRST.
01.09.2023, 16:51
Kolobok85

Вложений: 2

Всё выполнил :)
01.09.2023, 18:31
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\RunOnce: [usbfltrb] => [X]
2023-09-01 20:38 - 2023-08-30 21:13 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-09-01_20-38_hosts.bak
2023-08-30 21:13 - 2023-08-27 00:25 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-30_21-13_hosts.bak
2023-08-27 00:25 - 2023-08-27 00:06 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-27_00-25_hosts.bak
2023-08-27 00:06 - 2023-08-26 23:47 - 000004970 _____ C:\Windows\system32\Drivers\etc\2023-08-27_00-06_hosts.bak
2023-08-26 23:47 - 2023-08-26 21:23 - 000005133 _____ C:\Windows\system32\Drivers\etc\2023-08-26_23-47_hosts.bak
2023-08-26 23:40 - 2023-08-26 23:40 - 009636556 _____ (Company © regist) C:\Users\95042\Downloads\Неподтверждено 993604.crdownload
2023-08-26 21:20 - 2023-08-31 00:31 - 000000000 ____D C:\Users\95042\Doctor Web
2023-08-20 18:44 C:\Program Files\NETGATE
2023-08-20 18:44 C:\Users\95042\AppData\Roaming\Sysfiles
2023-08-20 18:44 C:\ProgramData\princeton-produce
FirewallRules: [{FFDCAD49-3A81-4AB4-AFD3-A63CEB983BE1}] => (Allow) C:\Users\95042\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{E5D6F6F3-B9B6-44F3-903D-F12672E09ABB}] => (Allow) C:\Users\95042\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
AlternateDataStreams: C:\Users\95042\AppData\Local\Temp:$DATA [16]
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.