[COLOR=#333333]Здравствуйте, помогите решить проблему.
Подозреваю на вирус майнер.
[/COLOR]
Руками немного вычистил систему, но все равно имеются проблемы.
Printable View
[COLOR=#333333]Здравствуйте, помогите решить проблему.
Подозреваю на вирус майнер.
[/COLOR]
Руками немного вычистил систему, но все равно имеются проблемы.
Уважаемый(ая) [B]vitma_bc[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)[/code]
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/ZZNRdX"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.
[QUOTE=Vvvyg;1530540]Запустите HijackThis, расположенный в папке Autologger и [URL="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/URL]:[code]O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)[/code]
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/ZZNRdX"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.[/QUOTE]
Спасибо за ответ.
Строки пофиксил.
Файл log прикрепляю
[NOTICE]Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ"[/NOTICE]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Логи в архиве
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\DeepL auto-start.lnk [2024-05-03]
Task: {26912B52-8823-4402-9EFB-B2B6449ED7E2} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Нет файла)
Task: {572F0A99-5EC7-4D8C-80B7-A8D642C9B9DA} - System32\Tasks\Zero Install\Self update => C:\Program Files\Zero Install\0install-win.exe self update --batch (Нет файла)
Task: {3947CAFA-F820-4BF2-8BBC-E7FFE9116DD5} - System32\Tasks\Zero Install\Update apps => C:\Program Files\Zero Install\0install-win.exe update-all --batch --machine --clean (Нет файла)
Edge HKU\S-1-5-21-3349990860-2292581658-231134250-1001\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
Edge HKLM-x32\...\Edge\Extension: [jcpgbnbdnakoblgfkbgggankeidkfcdl]
CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
S2 0store-service; "C:\Program Files\Zero Install\0store-service.exe" [X]
2024-05-02 09:47 - 2024-05-02 09:47 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
FirewallRules: [{73311664-BD69-48AA-AA62-7B1594572A99}] => (Allow) C:\Users\EVGEN\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{38BEEA1B-8FF3-43F7-8926-46D38FD694B2}] => (Allow) C:\Users\EVGEN\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6CDF4784-E70C-4861-8D8F-731898829C74}] => (Allow) C:\Program Files\Zero Install\0install.exe => Нет файла
FirewallRules: [{4C49F748-5877-4651-B76C-9E9B8446C8CD}] => (Allow) C:\Program Files\Zero Install\0install-win.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Удалите расширение Online Security в MS Edge.
Сообщите, что с проблемами.
Проблема исчезла.
Расширение Online Security в MS Edge не обнаружил чтобы удалить
Посмотрите его в режиме разработчика. Если нет - ладно.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
C:\Users\EVGEN\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jcpgbnbdnakoblgfkbgggankeidkfcdl
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Windows Tasks Service\winserv.exe"
EndPowerShell:
CreateRestorePoint:
Reboot:
End:[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
вот...
Скрипт не отработал, почему-то. Удалите вручную исключения, прописанные майнером.
Параметры> обновление и безопасность > защита от вирусов.
Выберите"Управление настройками".
В области "Исключения" выберите "Добавить или удалить исключения".
Вы увидите список текущих исключений.
Выберите "Удалить" для кажого их списка в сообщении #9.
Удалил вручную исключения.
Благодарю!
Всё на этом.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.