Треклятый майнер...

**Fikus31** · 16.11.2024, 18:50

Здравствуйте! Помогите пожалуйста удалить Майнер. Диспетчер задач закрывает спустя время, не даёт открывать некоторые сайты. Кое как сделал лог... Даже это сообщение пишу с телефона...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.11.2024, 18:51

Уважаемый(ая) Fikus31, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 18.11.2024, 07:45

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в любую папку, кроме рабочего стола и загрузок. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Затем сделайте новый лог Autologger.

**Fikus31** · 18.11.2024, 09:52

А что делать, если не работает интернет в безопасном режиме с загрузкой сетевых драйверов?

**Sandor** · 18.11.2024, 15:45

Скачивайте на другом устройстве (хоть на телефоне), а запускайте в безопасном режиме с поддержкой сети (5 или F5).

**Fikus31** · 18.11.2024, 18:38

Логи

**Vvvyg** · 18.11.2024, 19:35

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки (некоторые могут отсутствовать):

Код:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\WinRAR.lnk"       -> ["C:\Program Files\WinRAR\WinRAR.exe"]
>>>  "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk"       -> ["C:\Program Files\WinRAR\WhatsNew.txt"]
>>>  "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk"       -> ["C:\Program Files\WinRAR\Rar.txt"]
>>>  "C:\Users\Никита\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk"         -> ["C:\Program Files\WinRAR\WinRAR.chm"]
>>>  "C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\AMDSOF~1\AMDSOF~1.LNK" ("C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Software꞉ Adrenalin Edition\AMD Software꞉ Adrenalin Edition.lnk")           -> ["C:\Program Files\AMD\CNext\CNext\RadeonSoftware.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe After Effects 2020.lnk"   -> ["C:\Program Files\Adobe\Adobe After Effects 2020\Support Files\AfterFX.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Illustrator 2022.lnk"     -> ["C:\Program Files\Adobe\Adobe Illustrator 2022\Support Files\Contents\Windows\Illustrator.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Photoshop CC 2015.lnk"    -> ["C:\Program Files\Adobe\Adobe Photoshop CC 2015\Photoshop.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Adobe Photoshop CC 2018.lnk"    -> ["C:\Program Files\Adobe\Adobe Photoshop CC 2018\Photoshop.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\AnyDesk.lnk"          -> ["C:\Program Files (x86)\AnyDesk\AnyDesk.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Microsoft Teams (work or school).lnk"     -> ["C:\Users\Никита\AppData\Local\Microsoft\Teams\Update.exe"  =>> --processStart "Teams.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Spotify.lnk"          -> ["C:\Users\Никита\AppData\Roaming\Spotify\Spotify.exe"]
>>>  "C:\Users\Никита\Documents\Rainmeter\Skins\MD3 Windows-Basic\@Resources\Application\Telegram.lnk"         -> ["C:\Users\Никита\Downloads\materialgram\win64_materialgram_v5.3.0.1\materialgram.exe"]

Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Fikus31** · 18.11.2024, 21:15

Вот

**Vvvyg** · 18.11.2024, 21:42

Деинсталлируйте программы Client Helper 6.1.6 и qBittorrent 8.2.9, это adware и сами их явно не устанавливали. Если нет возможности удалить стандартным способом - сделайте принудительно, с помощью Geek Uninstaller Free.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {A4D2075E-B72A-4DB6-BE66-9017FBB2369D} - System32\Tasks\qBittorrentProUpdaterV5_t1730646206363 => C:\Program Files\qBittorrent\pro\qBittorrentPro.exe [157624320 2024-09-30] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {6AE54B19-E073-43FB-B4AF-BFFE090F0682} - System32\Tasks\qBittorrentProUpdaterV6_t1730646208397 => C:\Program Files\qBittorrent\pro\qBittorrentPro.exe [157624320 2024-09-30] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
Task: {297FE3B0-2684-4C84-8843-14E07C1F5A1A} - System32\Tasks\RunGame => C:\Program Files\Client Helper\Client Helper.exe [146320896 2024-10-22] (GitHub, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\qBittorrent\pro
2024-11-03 19:03 - 2024-11-18 22:04 - 000000000 ____D C:\Users\Никита\AppData\Roaming\qBittorrentPro
2024-11-03 19:03 - 2024-11-03 19:08 - 000000264 _____ C:\Users\Никита\qBittorrentPro.dat
2024-11-03 19:03 - 2024-11-03 19:03 - 000003696 _____ C:\Windows\system32\Tasks\qBittorrentProUpdaterV6_t1730646208397
2024-11-03 19:03 - 2024-11-03 19:03 - 000000000 ____D C:\Users\Никита\AppData\Local\qbittorrentpro-updater
2024-11-03 19:01 - 2024-11-03 19:01 - 000000968 _____ C:\Users\Public\Desktop\Dark Souls Remastered.lnk
2024-11-03 18:58 - 2024-11-18 22:03 - 000011043 _____ C:\Users\Никита\ex-list2.json
2024-11-03 18:57 - 2024-11-03 18:58 - 000000000 ____D C:\Program Files\Client Helper
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8602]
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-2918091119-102753156-1468533250-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{E8884534-9BAB-422B-913D-E07C9E4C1EB3}] => (Allow) D:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{600C63C2-7D53-4D16-9954-E8A93ECB2DD9}] => (Allow) D:\Program Files (x86)\Steam\steam.exe => Нет файла
FirewallRules: [{8DA6F95B-2C57-456C-AA83-6DCEC27C2002}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{3DBB8A1D-83B3-48B1-BC81-205ED970CED3}] => (Allow) D:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [TCP Query User{27D36F4C-EA95-45E6-BB8F-E739B9E483C7}C:\users\никита\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\никита\appdata\local\programs\guilded\guilded.exe => Нет файла
FirewallRules: [UDP Query User{10E753A0-7053-41FA-9904-ADA7207DD746}C:\users\никита\appdata\local\programs\guilded\guilded.exe] => (Allow) C:\users\никита\appdata\local\programs\guilded\guilded.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Default\Cache\Cache_Data\*.*" >null
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data\*.*" >null
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" >null
del /s /q "%userprofile%\AppData\Local\temp\*.*" >null
del /s /q C:\Windows\Minidump\*.dmp >null
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

**Fikus31** · 19.11.2024, 06:55

Вот

**Vvvyg** · 19.11.2024, 07:38

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Fikus31** · 19.11.2024, 11:22

Вот

**Vvvyg** · 19.11.2024, 12:12

Обновите браузер:

Opera GX Stable 114.0.5282.159 v.114.0.5282.159 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^

и всё на этом.

Проблемы ушли, как понимаю?

**Fikus31** · 19.11.2024, 16:40

Проблем пока не вижу, спасибо

Треклятый майнер... (заявка № 228818)

Опции темы