Показано с 1 по 13 из 13.

Зависание при загрузке в нормальном режиме [not-a-virus:RiskTool.Win64.BitCoinMiner.bod ] (заявка № 212189)

  1. #1
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35

    Зависание при загрузке в нормальном режиме [not-a-virus:RiskTool.Win64.BitCoinMiner.bod ]

    Здравствуйте, при загрузке в обычном режиме комп догружается до рабочего стола и после этого ни одно приложение не запускается,загрузился в безопасном режиме, запустил проверку в Malwarebytes, было найдено и удалено порядка 300 штук PUP.Optional.MailRU, после перезагрузки ситуация в нормальном режиме не изменилась. При этом в безопасном режиме с загрузкой сетевых драйверов все работает прекрасно. Логи по инструкции сделал и прикрепил, прошу помочь в решении вопроса.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) regkon, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
    ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
    if not IsWOW64
     then
      begin
       SearchRootkit(true, true);
       SetAVZGuardStatus(True);
      end;
     QuarantineFile('C:\Windows\system32\wsaudio.dll','');
     QuarantineFile('C:\Users\User\appdata\roaming\system\libs\svchost.exe','');
     QuarantineFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe','');
     QuarantineFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py','');
     QuarantineFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010030\gmsd_ru_005010030.exe','');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010031\gmsd_ru_005010031.exe','');
     QuarantineFile('C:\Program Files (x86)\gmsd_ru_005010032\gmsd_ru_005010032.exe','');
     QuarantineFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','');
     QuarantineFile('C:\Users\User\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','');
     QuarantineFile('C:\Windows\system32\cpuminer-gw64.exe','');
     QuarantineFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\baiduAnTray.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Temp\11-20150313-154741.exe','');
     QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','');
     DeleteFile('C:\Users\User\AppData\Local\Microsoft\Extensions\safebrowser.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','SafeBrowser');
     DeleteFile('C:\Users\User\AppData\Local\Temp\11-20150313-154741.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Amigo\Application\amigo.exe','32');
     DeleteFile('C:\Program Files (x86)\Baidu\BaiduAn\4.0.0.5166\baiduAnTray.exe','32');
     DeleteFile('C:\Windows\system32\cpuminer-gw64.exe','32');
     DeleteFile('C:\Users\User\AppData\Roaming\cpuminer\sgminer\sgminer.cmd','32');
     DeleteFile('C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe','32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010032\gmsd_ru_005010032.exe','32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010031\gmsd_ru_005010031.exe','32');
     DeleteFile('C:\Program Files (x86)\gmsd_ru_005010030\gmsd_ru_005010030.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Kometa\Application\kometa.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Kometa\Panel\KometaLaunchPanel.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\Kometa\kometaup.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kometaup','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaLaunchPanel','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KometaAutoLaunch_6632489EDE512831E64C7AB45B89EBC1','command');
     DeleteFile('C:\Users\User\AppData\Local\Mail.ru\Sputnik\ptls\LWPYCvofsemE.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LWPYCvofsemE','command');
     DeleteFile('C:\Users\User\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\ml.py','32');
     DeleteFile('C:\Users\User\AppData\Roaming\phbgijefmoangblimiifmafocmlfaobk\python\pythonw.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\phbgijefmoangblimiifmafocmlfaobk','command');
     DeleteFile('C:\Users\User\AppData\Local\Microsoft\Windows\toolbar.exe','32');
     DeleteFile('C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe','32');
     DeleteFile('C:\Users\User\AppData\Local\SmartWeb\SmartWebHelper.exe','32');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartWeb','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpaceSoundPro','command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SystemScript','command');
     DeleteFile('C:\Windows\system32\Tasks\appdistrib','64');
     DeleteFile('C:\Program Files (x86)\Common Files\Distribute Application\appdistrib.exe','32');
     DeleteFile('C:\Windows\system32\Tasks\phbgijefmoangblimiifmafocmlfaobk','64');
     DeleteFile('C:\Users\User\appdata\roaming\system\libs\svchost.exe','32');
     DeleteFile('C:\Windows\system32\wsaudio.dll','32');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Будет выполнена перезагрузка компьютера.

    Выполните скрипт в AVZ
    Код:
    begin
    CreateQurantineArchive('c:\quarantine.zip');
    end.
    c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

    Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  5. #4
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35
    Скрипты выполнил, карантин отправил, новые логи прикрепляю.

    - - - - -Добавлено - - - - -

    Кроме этого появилась проблема - в браузерах открываются левые страницы с рекламой, а так же и каспер и Malwarebytes постоянно блокируют попытки соединения с какими то сайтами

  6. #5
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
    • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


    1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
    2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

    3. Нажмите кнопку Scan.
    4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
    5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
    6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  7. #6
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35
    Готово

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    1. Откройте Блокнот и скопируйте в него приведенный ниже текст
    Код:
    CreateRestorePoint:
    Toolbar: HKU\S-1-5-21-3398610230-3888714223-3713037428-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
    FF Plugin HKU\S-1-5-21-3398610230-3888714223-3713037428-1000: @omaha.playfree.org/MPCBrowser Update;version=3 -> C:\Users\User\AppData\Local\MPCBrowser\Update\1.3.27.0\npGoogleUpdate3.dll [No File]
    FF Plugin HKU\S-1-5-21-3398610230-3888714223-3713037428-1000: @omaha.playfree.org/MPCBrowser Update;version=9 -> C:\Users\User\AppData\Local\MPCBrowser\Update\1.3.27.0\npGoogleUpdate3.dll [No File]
    CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
    CHR HKU\S-1-5-21-3398610230-3888714223-3713037428-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-3398610230-3888714223-3713037428-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
    OPR Extension: (Teddy Protection) - C:\Users\User\AppData\Roaming\Opera Software\Opera Stable\Extensions\mofelbkemhligelpmjmohgphhmogbkni [2016-12-24]
    Task: {1147ADFE-14B8-4089-80CC-AD5004BEA6B5} - \phbgijefmoangblimiifmafocmlfaobk -> No File <==== ATTENTION
    Task: {2FD839BC-F0BD-46EB-B9BB-4B4C3C2CF94B} - \appdistrib -> No File <==== ATTENTION
    Task: {636400AF-8358-4CBA-8D0C-08A2E2BACD06} - \{4A7CBA39-CC73-403F-BC5B-FC2AFA12CF8F} -> No File <==== ATTENTION
    Task: {6EA8EEAE-E15A-4ED6-A02C-52FC7685E347} - \Microsoft\Windows\Media Center\VCore -> No File <==== ATTENTION
    Task: {DAA17131-9E78-4F09-ACB1-EB33FC484089} - \{BF10F3B3-338C-4F35-87B2-B43838A8F342} -> No File <==== ATTENTION
    Reboot:
    2. Нажмите ФайлСохранить как
    3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
    4. Укажите Тип файлаВсе файлы (*.*)
    5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
    6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    • Обратите внимание, что будет выполнена перезагрузка компьютера.
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35
    Farbar получилось запустить только в безопасном режиме. В обычном он зависал. лог прикрепляю

  10. #9
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35
    Что то странно как то, оплатил доступ к платному сервису, по идее за 3 дня должны были оказать помощь до полной очистки... Темя создана 17 мая а уже на дворе июнь... не красиво админы!

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Тему в плюсовом создавать не стали, а теперь ищете крайних? После перевода в другую группу у Вас должна была быть такая возможность.

    Проблема по-прежнему актуальна?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    24.09.2014
    Сообщений
    21
    Вес репутации
    35
    Я не знаю в чем проблема, но после оплаты у меня в плюсовом форуме ничего не изменилось, я предположил что у вас видно статус. Проблема актуальна... По скорости работы в принципе стало намного лучше, но рекламные страницы так и открываются, и каспер постоянно блокирует попытки соединения с какими то левыми сайтами.

  13. #12
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Отключите ВСЕ установленные расширения для браузеров и проверьте проблему
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\users\user\appdata\roaming\system\libs\svchost. exe - not-a-virus:RiskTool.Win64.BitCoinMiner.bod ( BitDefender: Gen:Application.Heur2.RdW@baaaaaaab )


  • Уважаемый(ая) regkon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 11.08.2014, 00:03
    2. не запускается в нормальном режиме
      От lexanic в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 21.05.2010, 17:15
    3. BSOD в нормальном режиме
      От alivan в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 08.03.2010, 18:14
    4. Не загружается Windows в нормальном режиме
      От Dunkelheit в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 20.11.2009, 19:51
    5. WinXP SP2: не грузится в нормальном режиме
      От gladov в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 20.06.2009, 14:19

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01471 seconds with 19 queries