Страница 2 из 2 Первая 12
Показано с 21 по 39 из 39.

последствия майнера (заявка № 227180)

  1. #21
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Есть какой-то WinPE загрузочный диск?
    WBR,
    Vadim

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #22
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Как вариант - с лечащего диска пролечиться, есть шанс, что увидится руткит.
    Kaspersky Rescue Disk
    Dr.Web LiveDisk
    WBR,
    Vadim

  4. #23
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Добрый день! Я грузился с DrWeb, безрезультатно. Сейчас попробую еще раз.
    Последний раз редактировалось Legossi; 29.09.2021 в 10:22.

  5. #24
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    DrWeb LiveCD запустился с ошибкой. При сканировании ничего не нашел. Сейчас попробую Касперского.

    - - - - -Добавлено - - - - -

    Просканировал krd. Нашел 5 троянов, пока не удалял. Вот лог.
    Вложения Вложения

  6. #25
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Удаляйте всё, но это, скорее всего, не то, с чем боремся.

    Давайте такую процедуру сделаем.
    Скачайте архив с программой Ventoy, распакуйте архив полностью.
    Подготовьте свободную флэшку размером от 4 Гб, всё её содержимое будет стёрто.
    Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.

    Скачайте образ Hiren’s BootCD PE x64 и скопируйте в корень флэшки с Ventoy.

    Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.
    Запустите файл start.exe, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.
    WBR,
    Vadim

  7. #26
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Добрый день! Вот ссылка! https://files.fm/f/deyb6kyz3

  8. #27
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Давайте так попробуем.

    Скачайте архив с программой Ventoy, распакуйте архив полностью.
    Подготовьте свободную флэшку размером от 4 Гб, всё её содержимое будет стёрто.
    Запустите программу Ventoy2Disk.exe, выберите нужное устройство и нажмите Установить/Install.

    Скачайте образ Hiren’s BootCD PE x64 и скопируйте в корень флэшки с Ventoy.

    Скачайте утилиту Universal Virus Sniffer отсюда, распакуйте на загрузочную флэшку с Ventoy, загрузитесь с неё, выбрав образ HBCD_PE_x64.iso в меню.

    Запустите файл start.exe из папки Support, пункт "Выберите каталог Windows (выбрана активная система)", укажите папку Windows на системном разделе. Далее в главном меню программы выбираете пункт: Файл -> Cохранить полный образ автозапуска. Лог сохраните в удобной для Вас папке. Если образ автоматически был упакован в архив 7z, то дополнительно упаковывать и перепаковывать не надо, если же у Вас получился обычный текстовый файл, добавьте его в архив RARили 7-zip и прикрепите к сообщению, или загрузите в доступное облачное хранилище/файлообменник без капчи и дайте ссылку.
    WBR,
    Vadim

  9. #28
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1

  10. #29
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Загрузитесь с Hiren’s BootCD с флэшки, так же, как и в тот раз, запустите start.exe из папки Support, пункт "Выберите каталог Windows" с системой на HDD, в главном меню программы - Скрипты -> выполнить скрипт из файла (сохраните в текстовый файл и поместите в папку с UVS заранее):
    Код:
    ;uVS v4.11.10 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv0.0
    v400c
    delref %Sys32%\VSJITDEBUGGER.EXE
    delref %SystemDrive%\USERS\VVV\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    dirzoo %SystemDrive%\ProgramData\FileOpen
    dirzoo %SystemDrive%\ProgramData\cm-lock
    deldir %SystemDrive%\ProgramData\FileOpen
    deldir %SystemDrive%\ProgramData\cm-lock
    deltmp
    apply
    czoo
    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл на файлообменник и дайте ссылку в личном сообщении.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
    WBR,
    Vadim

  11. #30
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Добрый день!
    Выскакивает ошибка: Текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено".
    Запускаю Проверка скрипта.. выдает Неизвестная команда в строке 1
    Что делаю не так?

  12. #31
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Нет ошибок в скрипте. Сохраните из вложения.
    cure1.TXT
    WBR,
    Vadim

  13. #32
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Скрипт прошел, а вот ZOO_ не создался.. есть папка ZOO, но она пустая.

    - - - - -Добавлено - - - - -

    Спасибо! DrWeb установился.

  14. #33
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Лог выполнения скрипта приложите.

    И, для контроля, сделайте новый лог FRST.
    WBR,
    Vadim

  15. #34
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Добрый день! Лог ZOO_ почему то не сформировался, а FRST вот.
    Вложения Вложения
    • Тип файла: rar FRST.rar (30.0 Кб, 4 просмотров)

  16. #35
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Лог выполнения скрипта -текстовый файл с именем из даты и времени выполнения в папке с UVS.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Unlock: C:\ProgramData\Discord
    Folder: C:\ProgramData\Discord
    FirewallRules: [{1CE43237-CFDD-4C77-9799-FCE889F1BC9E}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла
    FirewallRules: [{82D90313-53EC-4712-B1E8-ADC2BF55F8AD}] => (Block) C:\users\vvv\appdata\local\ntwebservcspinteraction\ntwebservcspinteraction.exe => Нет файла
    AdShield 1.0.0.1 (HKLM-x32\...\{df2155a9-d3aa-4685-a99b-161473cc0132}) (Version: 1.0.0.1 - Limbo Solutions) Hidden
    FirewallRules: [{DBF4C3BF-1AEB-4E1C-B69A-BBB91C56E1A0}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    FirewallRules: [{83297902-669B-4EE9-AC39-57272D8B42EC}] => (Allow) C:\Users\vvv\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Удалите приложение AdShield 1.0.0.1, если штатно не выйдет - с помощью Geek Uninstaller Free.

    Сообщите, что с проблемами.
    WBR,
    Vadim

  17. #36
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    DrWeb установился, спасибо! Вроде все в порядке!

    - - - - -Добавлено - - - - -

    AdShield 1.0.0.1 удалил с помощью Geek Uninstaller Free

    - - - - -Добавлено - - - - -

    Спасибо огромное!
    Вложения Вложения

  18. #37
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    Последний Fixlog.txt бы ещё увидеть.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  19. #38
    Junior Member Репутация
    Регистрация
    24.09.2021
    Сообщений
    21
    Вес репутации
    1
    Есть.
    Вложения Вложения

  20. #39
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,110
    Вес репутации
    995
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3177467 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4499175 Внимание! Скачать обновления
    HotFix KB4539602 Внимание! Скачать обновления
    Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
    Вообще, с учётом того, что расширенная поддержка 7-ки закончилась 14.01.2020, систему крайне желательно обновить по полной, через автоматическое обновление, а лучше - с помощью Набора обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1 - там есть критический патч от уязвимости Zerologon, который через автоматическое обновление для Windows 7 не распространяется.

    Microsoft Office профессиональный плюс 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
    Устаревшие версии MS Office имеют незакрытые критические уязвимости.

    VMware Workstation v.12.5.2 Внимание! Скачать обновления
    Microsoft .NET Framework 4.8 v.4.8.03761 Внимание! Скачать обновления
    Foxit Reader v.6.2.1.618 Внимание! Скачать обновления
    ^Локализованные версии могут обновляться позже англоязычных!^
    Notepad++ v.7 Внимание! Скачать обновления
    TeamViewer v.15.19.5 [+]
    Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
    ^Удалите старую версию, скачайте и установите новую.^
    Это всё тоже по возможности обновить.

    Java 7 Update 80 (64-bit) v.7.0.800 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-x64.exe).
    Java 7 Update 21 v.7.0.210 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u291-windows-i586.exe).
    А Java обновить до 8-й версии обязательно, или удалить совсем, если не нужна.

    Flash Player удалите обязательно:
    Adobe Flash Player 23 ActiveX v.23.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
    Adobe Flash Player 19 NPAPI v.19.0.0.207 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    И на этом всё.
    WBR,
    Vadim

Страница 2 из 2 Первая 12

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 27.12.2020, 22:22
  2. Ответов: 16
    Последнее сообщение: 11.01.2015, 16:49
  3. Не могу избавиться от майнера m1.exe
    От undoxone в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 10.08.2014, 16:15
  4. Не могу избавиться от майнера m1.exe
    От Alien_Lord в разделе Помогите!
    Ответов: 12
    Последнее сообщение: 29.06.2014, 22:31
  5. Ответов: 20
    Последнее сообщение: 03.07.2013, 13:46

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00605 seconds with 18 queries