Здравствуйте! Помогите пожалуйста удалить Майнер. Диспетчер задач закрывает спустя время, не даёт открывать некоторые сайты. Кое как сделал лог... Даже это сообщение пишу с телефона...
Printable View
Здравствуйте! Помогите пожалуйста удалить Майнер. Диспетчер задач закрывает спустя время, не даёт открывать некоторые сайты. Кое как сделал лог... Даже это сообщение пишу с телефона...
Уважаемый(ая) [B]Fikus31[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Скачайте, распакуйте и запустите [URL="https://inlnk.ru/ZZNRdX"]утилиту AV block remove[/URL], следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима [B]с поддержкой сети[/B].
Файл [B]AV_block_remove_дата_время.log[/B] из папки с программы прикрепите к своему сообщению.
Затем сделайте новый лог Autologger.
А что делать, если не работает интернет в безопасном режиме с загрузкой сетевых драйверов?
Скачивайте на другом устройстве (хоть на телефоне), а запускайте в безопасном режиме с поддержкой сети (5 или F5).
Логи
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки (некоторые могут отсутствовать)[/url]:[code]O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0[/code]
Скачайте, распакуйте и запустите [url=https://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\WinRAR.lnk" -> ["C:\Program Files\WinRAR\WinRAR.exe"]
>>> "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk" -> ["C:\Program Files\WinRAR\WhatsNew.txt"]
>>> "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk" -> ["C:\Program Files\WinRAR\Rar.txt"]
>>> "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk" -> ["C:\Program Files\WinRAR\WinRAR.chm"]
>>> "C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\AMDSOF~1\AMDSOF~1.LNK" ("C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Software꞉ Adrenalin Edition\AMD Software꞉ Adrenalin Edition.lnk") -> ["C:\Program Files\AMD\CNext\CNext\RadeonSoftware.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe After Effects 2020.lnk" -> ["C:\Program Files\Adobe\Adobe After Effects 2020\Support Files\AfterFX.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Illustrator 2022.lnk" -> ["C:\Program Files\Adobe\Adobe Illustrator 2022\Support Files\Contents\Windows\Illustrator.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Photoshop CC 2015.lnk" -> ["C:\Program Files\Adobe\Adobe Photoshop CC 2015\Photoshop.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Photoshop CC 2018.lnk" -> ["C:\Program Files\Adobe\Adobe Photoshop CC 2018\Photoshop.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\AnyDesk.lnk" -> ["C:\Program Files (x86)\AnyDesk\AnyDesk.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Microsoft Teams (work or school).lnk" -> ["C:\Users\Никита\AppData\Local\Microsoft\Teams\Update.exe" =>> --processStart "Teams.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Spotify.lnk" -> ["C:\Users\Никита\AppData\Roaming\Spotify\Spotify.exe"]
>>> "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Telegram.lnk" -> ["C:\Users\Никита\Downloads\materialgram\win64_materialgram_v5.3.0.1\materialgram.exe"][/CODE]Отчёт о работе прикрепите.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Вот
Деинсталлируйте программы Client Helper 6.1.6 и qBittorrent 8.2.9, это adware и сами их явно не устанавливали. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {A4D2075E-B72A-4DB6-BE66-9017FBB2369D} - System32\Tasks\qBittorrentProUpdaterV5_t1730646206363 => C:\Program Files\qBittorrent\pro\qBittorrentPro.exe [157624320 2024-09-30] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {6AE54B19-E073-43FB-B4AF-BFFE090F0682} - System32\Tasks\qBittorrentProUpdaterV6_t1730646208397 => C:\Program Files\qBittorrent\pro\qBittorrentPro.exe [157624320 2024-09-30] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {297FE3B0-2684-4C84-8843-14E07C1F5A1A} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-22] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\qBittorrent\pro
2024-11-03 19:03 - 2024-11-18 22:04 - 000000000 ____D C:\Users\Никита\AppData\Roaming\qBittorrentPro
2024-11-03 19:03 - 2024-11-03 19:08 - 000000264 _____ C:\Users\Никита\qBittorrentPro.dat
2024-11-03 19:03 - 2024-11-03 19:03 - 000003696 _____ C:\Windows\system32\Tasks\qBittorrentProUpdaterV6_t1730646208397
2024-11-03 19:03 - 2024-11-03 19:03 - 000000000 ____D C:\Users\Никита\AppData\Local\qbittorrentpro-updater
2024-11-03 19:01 - 2024-11-03 19:01 - 000000968 _____ C:\Users\Public\Desktop\Dark Souls Remastered.lnk
2024-11-03 18:58 - 2024-11-18 22:03 - 000011043 _____ C:\Users\Никита\ex-list2.json
2024-11-03 18:57 - 2024-11-03 18:58 - 000000000 ____D C:\Program Files\Client Helper
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8602]
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\regfile: <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.reg: => <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.bat: => <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.cmd: => <==== ВНИМАНИЕ
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{E8884534-9BAB-422B-913D-E07C9E4C1EB3}] => (Allow) D:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{600C63C2-7D53-4D16-9954-E8A93ECB2DD9}] => (Allow) D:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{8DA6F95B-2C57-456C-AA83-6DCEC27C2002}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{3DBB8A1D-83B3-48B1-BC81-205ED970CED3}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{27D36F4C-EA95-45E6-BB8F-E739B9E483C7}C:\users\никита\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\никита\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [UDP Query User{10E753A0-7053-41FA-9904-ADA7207DD746}C:\users\никита\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\никита\appdata\local\programs\guilded\guilded.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >null
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >null
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >null
del /s /q "%userprofile%\AppData\Local\temp\*.*" >null
del /s /q C:\Windows\Minidump\*.dmp >null
sfc /scannow
endbatch:
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Вот
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Вот
Обновите браузер:[QUOTE]Opera GX Stable 114.0.5282.159 v.114.0.5282.159 [color=red][b]Внимание! [url=https://net.geo.opera.com/opera_gx/stable/windows?utm_tryagain=yes]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню О программе!^[/b][/color][/QUOTE]и всё на этом.
Проблемы ушли, как понимаю?
Проблем пока не вижу, спасибо