Кажется, действует майнер

**kolo63i** · 06.09.2023, 17:16

Добрый день!
При загрузке виндовс вылезает черное окно командной строки, которое через секунду закрывается само + диспетчер задач показывает загрузку диска С 99-100%. К тому же диспетчер задач самопроизвольно закрывается через секунд 20 (примерно). В С/ПрограмДата куча скрытых файлов с названиями антивирусов, которые я не ставила. Открыть эти папки система запрещает. Пыталась изменить права доступа - не дает (хотя у меня права администратора).
Загрузила комп в безопасном режиме, запустила Доктор веб Кьюрент (если он так читается) нашел вирусы, удалил/вылечил. В простом режиме тоже нашел вирусы вроде вылечил/удалил. Но постоянно находит новые. Касперский не запускается (выдает ошибку).
Были троян Autolit, Троян Packed (несколько вариаций).
Я, конечно, не совсем блондинка, но самостоятельно от этой пакости избавиться не получается. Что делать не знаю, помогите, пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.09.2023, 17:17

Уважаемый(ая) kolo63i, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 06.09.2023, 19:50

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\Programdata\Setup\sch.bat', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFile('C:\Users\Марина\AppData\Local\Programs\Ghostery\bd2529c508.msi', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
 QuarantineFileF('c:\programdata\windows tasks service', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('"C:\WINDOWS\system32\msiexec.exe" /i "c:\users\марина\appdata\local\programs\ghostery\bd2529c508.msi" /quiet chrome=1', '64');
 DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\Programdata\Setup\sch.bat', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFile('C:\Users\Марина\AppData\Local\Programs\Ghostery\bd2529c508.msi', '64');
 DeleteFileMask('"c:\windows\system32\msiexec.exe" /i "c:\users\марина\appdata\local\programs\ghostery', '*', true);
 DeleteFileMask('c:\program files\rdp wrapper', '*', true);
 DeleteFileMask('c:\programdata\reaitekhd', '*', true);
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteFileMask('c:\programdata\setup', '*', true);
 DeleteFileMask('c:\programdata\windows tasks service', '*', true);
 DeleteFileMask('c:\users\марина\appdata\local\programs\ghostery', '*', true);
 DeleteDirectory('"c:\windows\system32\msiexec.exe" /i "c:\users\марина\appdata\local\programs\ghostery');
 DeleteDirectory('c:\program files\rdp wrapper');
 DeleteDirectory('c:\programdata\reaitekhd');
 DeleteDirectory('c:\programdata\realtekhd');
 DeleteDirectory('c:\programdata\setup');
 DeleteDirectory('c:\programdata\windows tasks service');
 DeleteDirectory('c:\users\марина\appdata\local\programs\ghostery');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-4191766718-2159356183-1985812813-1001');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryHosts');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RecoveryStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun:  [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe
O7 - Policy: HKCU\..\Windows\Explorer: [DisableNotificationCenter ] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл, переместите в другую папку. Не поможет - запустите из безопасного режима с поддержкой сети.
Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**kolo63i** · 06.09.2023, 20:05

Не получается
( вирус сожрал почти все место на диске С (осталось 9 гб), скопировать и вставить текст скрипта не дает - не вставляет из буфера обмена. Перезагрузка не помогла(

**Vvvyg** · 06.09.2023, 20:13

Пробуйте в безопасном режиме с поддержкой сети выполнить скрипт, далее - в обычном.

**kolo63i** · 06.09.2023, 20:45

AV block remove пришлось запустить дважды. 1 раз она из обычного режима запустилась, но логи не создались. Из безопасного создались.
Кстати, командная строка, вроде, уже не появляется при загрузке. Загрузка диска С в норме, но память используется 3 гб из 8 (включена только Мозила)

**Vvvyg** · 06.09.2023, 21:35

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
Unlock: C:\Program Files\COMODO
Task: {3ECFAC58-DF42-4BB4-A724-6A2CE9F211AF} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe  --repair (Нет файла)
Task: C:\WINDOWS\Tasks\Обновление Браузера Яндекс.job => 
CHR HKLM-x32\...\Chrome\Extension: [mlomiejdfkolichcflejclcbmpeaniij]
U3 aswbdisk; отсутствует ImagePath
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
2023-09-06 18:42 - 2023-09-06 18:42 - 000000000 ____D C:\DrWeb Quarantine
2023-05-07 20:45 C:\ProgramData\princeton-produce
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
del /s /q C:\Windows\Minidump\*.dmp
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

COMODO работает? Есть впечатление, что нет, тогда удалите.

**kolo63i** · 06.09.2023, 21:46

А где взять FRST.EXE/FRST64.EXE? у меня нет, есть только RSITx64.EXE

Комодо не работает, деинсталяция не работает - пишет, нет прав, простое удаление так же.

**Vvvyg** · 06.09.2023, 22:09

Сообщение от kolo63i

А где взять FRST.EXE/FRST64.EXE? у меня нет, есть только RSITx64.EXE

Здрасте, а логи-то чем делали? На рабочем столе: C:\Users\Марина\Desktop\FRST64.exe

Сообщение от kolo63i

Комодо не работает, деинсталяция не работает - пишет, нет прав, простое удаление так же.

Попробуйте после исправления, и Fixlog.txt не забудьте приложить.

**kolo63i** · 06.09.2023, 22:34

Видимо, я все же блондинка))) извините)
Сделала. Комодо тоже удалился. Но теперь не могу прикрепить сюда файл Fixlog. По кнопке "обзор" он находится, но на "загрузить" не реагирует( В безопасном режиме аналогично.
Хо-хо, зато на С снова 30 гиг свободных

Сюда можно содержание логов скопировать?

**Vvvyg** · 07.09.2023, 07:32

Там лог должен быть оочень большой. не зря просил упаковать в архив.
если уж совсем никак - не нужно.

Удалите принудительно, с помощью Geek Uninstaller Free, программу Ghostery - Privacy Ad Blocker 1.0.0.0.

Java 8 обязательно обновите до текущего билда, у Вас устаревшая версия со множеством критических уязвимостей - если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно). Если нет - просто удалите.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

И всё на этом.

**kolo63i** · 07.09.2023, 08:19

Доброе утро!
Утром загрузка прошла, прилагаю.
Программу Ghostery - Privacy Ad Blocker 1.0.0.0. через Geek Uninstaller Free не видно, удалять нечего.
Джаву удалила. Последний шаг пока подожду, что скажете, т.к. Privacy Ad Blocker не находится.

**Vvvyg** · 07.09.2023, 09:10

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-4191766718-2159356183-1985812813-1001\...\{729c7e9a-6fe6-4396-ab6b-a0adc60e8557}) (Version: 1.0.0.0 - Ghostery) Hidden
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.

Ghostery - Privacy Ad Blocker станет виден в установленных, удалите штатно, или через Geek Uninstaller.

**kolo63i** · 07.09.2023, 09:35

Все у меня не слава Богу
не срабатывает, ругается на отсутствующий файл фикслист, скрин прилагаю

**Vvvyg** · 07.09.2023, 10:14

Поправил фикс, пробуйте.

**kolo63i** · 07.09.2023, 10:22

Все сработало. Невидимка удалился, сейчас запущу деинсталляцию FRST

**Vvvyg** · 07.09.2023, 11:53

Система уж очень древняя: Windows 10 Pro Версия 1803, уже снята с поддержки, да ещё и обновления отключены. Понятно, что хочется стабильности, но про безопасность не надо забывать.
Штатный защитник сейчас работает?

**kolo63i** · 07.09.2023, 11:55

Штатный вроде работает.
После того, как комодо удалила, ничего не поставила. Какой антивирус порекомендуете?
Обновления не знаю как включить

**Vvvyg** · 07.09.2023, 13:45

Если была бы уже актуальная версия системы, штатный Защитник там очень неплох и его было бы вполне достаточно.
Comodo был ничего, давно его не пробовал.
Из бесплатных - пожалуй, Kaspersky Free.
Проблема ещё в том, что памяти маловато, 8 Гб для 10-ки - это самый минимум, а антивирус ресурсы кушает ощутимо.

Конкретно с вашим майнером - если уже дали ему запуститься - он блочит популярные антивирусы и не даёт их просто так установить, поэтому после установки майнера пролечить его и снять сделанные им блокировки даже лечащими утилитами (KVRT, Dr. Web CureIt!) не всегда выходит. Знаете, как заполучили? Скорее всего, что-то с торрентов запустили.

По поводу обновлений. Если система не обновлялась несколько лет, включать их не лучшая идея. Будут скачиваться и устанавливаться десятки а то и сотни, затянуться это может на сутки, а то и не одни, потом будет предлагать обновить до более нового билда (но не сразу последнего)...

Оптимально, на мой взгляд - добить памяти и установить сразу свежий билд 10-ки. Обновлением, или с нуля, с помощью MediaCreationTool. И остаться с Защитником.

Да, и BIOS уж очччень древний, F2 08/08/2018. Для Gigabyte B450M DS3H (rev. 1.x) летом уже F64 вышел.

https://www.gigabyte.ru/products/pag...ort#support-dl
На более свежие версии шить через F40.

**kolo63i** · 07.09.2023, 14:49

Спасибо вам большое за помощь!
Майнер скорее всего пошел с последней скачанной игрой. Всегда качала только от хатаба, ни одного вируса, а теперь и этим сборкам доверять нельзя.
Над памятью уже задумывалась, остальное по мере)
Хорошего дня!

Кажется, действует майнер (заявка № 228309)

Опции темы