Показано с 1 по 11 из 11.

Вирус-майнер (заявка № 227773)

  1. #1
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1

    Thumbs up Вирус-майнер

    Здравствуйте.
    Поймал вирус с торрентов. В простое грузит видеокарту и процессор, закрывает диспетчер задач, не дает установить никакие антивирусы, не заходит на антивирусные, антимайнерские сайты. Скачивал на др. компе, переносил. Но ничего не запускается, сразу сворачивает, ни avbr ни anvir, ничего не дает запустить. Помогите!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    370
    Уважаемый(ая) fissmu, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1
    Autologger не сканирует до конца, пишет сейчас откроется explorer и google hrome и дождитесь окончания сканирования, и после того как браузеры открываются autologger закрывается

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,945
    Вес репутации
    1018
    Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
    Если будут проблемы - запустите иммунный стартер программы - StartF.exe.
    WBR,
    Vadim

  6. #5
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1
    Образ автозапуска
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,945
    Вес репутации
    1018
    Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
    Код:
    ;uVS v4.12 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
    zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
    addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8 Trojan.Miner.83 [DrWeb] 7
    
    zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
    zoo %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
    zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
    addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 15 Trojan:Win64/DisguisedXMRigMiner [MS] 7
    
    chklst
    delvir
    deldir %SystemDrive%\PROGRAMDATA\REALTEKHD
    deldir %SystemDrive%\PROGRAMDATA\WINDOWSTASK
    regt 14
    regt 18
    regt 35
    deltmp
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
    delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.112\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.122\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\AMD64\FILESYNCSHELL64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.102\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.92\PSUSER_64.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\FILECOAUTH.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\PROTON TECHNOLOGIES\PROTONVPN\PROTONVPN.EXE
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.112\PSUSER.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.122\PSUSER.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19.043.0304.0013\FILESYNCSHELL.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.72\PSUSER.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.82\PSUSER.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.102\PSUSER.DLL
    delref %SystemDrive%\USERS\FISSM\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.36.92\PSUSER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
    delref F:\AUTORUN.EXE
    apply
    czoo
    restart
    Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
    Компьютер перезагрузится.

    В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению (лучше в архиве).

    Скачайте, распакуйте и запустите утилиту AV block remove, следуйте инструкциям. Если не запустится - переименуйте файл.
    Файл AV_block_remove_дата_время.log из папки с программы прикрепите к своему сообщению.

    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  8. #7
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1
    Файл ZOO_ и далее из даты и времени, который нужно отправить по ссылке "Прислать запрошенный карантин" пишет - 413 Слишком большой объект запроса (98мб занимает)

    После этих манипуляций вирус кажется исчез. Нагрузки нет, все запускается и открывается.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,945
    Вес репутации
    1018
    Осталось хвосты подчистить.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    HKLM\...\Policies\Explorer: [DisallowRun] 0
    HKLM\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-19\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-20\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-80-1180019008-2476346203-4072294894-2657129563-270315261\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-80-1180019008-2476346203-4072294894-2657129563-270315261\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-80-1239720762-752690759-3925780826-3975737876-324250879\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-80-1239720762-752690759-3925780826-3975737876-324250879\...\Policies\Explorer: [RestrictRun] 0
    HKU\S-1-5-80-903016920-208176211-2966240881-887067165-973456658\...\Policies\Explorer: [DisallowRun] 0
    HKU\S-1-5-80-903016920-208176211-2966240881-887067165-973456658\...\Policies\Explorer: [RestrictRun] 0
    2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 __SHD C:\ProgramData\FingerPrint
    2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 __SHD C:\Program Files (x86)\Transmission
    2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 ____D C:\Users\fissm\AppData\Roaming\RMS_settings
    2022-07-22 21:29 - 2022-07-22 21:29 - 000000000 ____D C:\Program Files (x86)\IObit
    2022-07-22 21:28 - 2022-07-22 21:28 - 000000000 ___HD C:\Users\John
    2022-07-20 00:52 - 2022-07-26 18:15 - 000003317 _____ C:\Windows\system32\Drivers\etc\hosts.tmp
    IE trusted site: HKU\S-1-5-21-335594158-3590791-123307318-1001\...\localhost -> localhost
    IE trusted site: HKU\S-1-5-21-335594158-3590791-123307318-1001\...\webcompanion.com -> hxxp://webcompanion.com
    FirewallRules: [{1E9C7443-2C46-4F40-BCB1-F42F9214F8D0}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{03E47FF7-D5E2-4338-B4D2-D79A310BD610}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{ABA6692F-838F-4C57-8928-F66E73CEDCFE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{755D8E01-289C-4D6C-8D63-E9BA469C1AF9}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    FirewallRules: [{DAE6DE07-1129-4822-95CD-8AE90BE69A51}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
    FirewallRules: [{D2BBDE3D-12BD-4DA0-AA13-4BDDB9982994}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
    StartBatch:
    del /s /q "%userprofile%\AppData\Local\temp\*.*"
    ipconfig /flushdns
    sfc /scannow
    endbatch:
    C:\Windows\Temp\*.*
    C:\WINDOWS\system32\*.tmp
    C:\WINDOWS\syswow64\*.tmp
    Reboot:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    - - - - -Добавлено - - - - -

    Цитата Сообщение от fissmu Посмотреть сообщение
    Файл ZOO_ и далее из даты и времени, который нужно отправить по ссылке "Прислать запрошенный карантин" пишет - 413 Слишком большой объект запроса (98мб занимает)
    Загрузите на файлообменник или облако и дайте ссылку в личном сообщении.
    WBR,
    Vadim

  10. #9
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1
    Fixlog
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,945
    Вес репутации
    1018
    Порядок, завершаем.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.
    WBR,
    Vadim

  12. #11
    Junior Member Репутация
    Регистрация
    26.07.2022
    Сообщений
    6
    Вес репутации
    1
    Сделал, удалился FRST.
    Спасибо Вам огромное!

  • Уважаемый(ая) fissmu, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус майнер грузит систему
      От mur2012 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 18.09.2014, 19:14
    2. Ответов: 8
      Последнее сообщение: 07.09.2014, 21:25
    3. Вирус-майнер.
      От oswvld в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 06.07.2014, 01:09
    4. Ответов: 7
      Последнее сообщение: 04.03.2014, 21:54

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00236 seconds with 18 queries