Показано с 1 по 12 из 12.

Поймал майнер (заявка № 227774)

  1. #1
    Junior Member Репутация
    Регистрация
    27.07.2022
    Сообщений
    5
    Вес репутации
    1

    Поймал майнер

    Не даёт открыть половину программ, папок и сайтов, смог скачать др веб, после скана говорит что удалил угрозу, но майнер остался. авз и авбр после пары секунд скана закрывает сам. Что мне делать?
    логи тоже не получается собрать..
    Последний раз редактировалось CathrineAdam; 27.07.2022 в 14:44.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,289
    Вес репутации
    370
    Уважаемый(ая) CathrineAdam, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,915
    Вес репутации
    141
    Здравствуйте!


    Цитата Сообщение от CathrineAdam Посмотреть сообщение
    авбр после пары секунд скана закрывает сам
    Переименуйте файл AVbr.exe в, например, a-v_br.exe и пробуйте запустить.

    Если тоже не получится, запустите его в безопасном режиме.
    После того, как он отработает и компьютер перезагрузится, прикрепите его отчёт в виде файла AV_block_remove_дата-время.log и соберите CollectionLog по правилам.

  5. #4
    Junior Member Репутация
    Регистрация
    27.07.2022
    Сообщений
    5
    Вес репутации
    1
    Цитата Сообщение от Sandor Посмотреть сообщение
    отчёт в виде файла AV_block_remove_дата-время.log
    автологер
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    33,944
    Вес репутации
    1018
    И где же AV_block_remove_дата-время.log?
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    27.07.2022
    Сообщений
    5
    Вес репутации
    1
    Vvvyg, а вот и он
    Вложения Вложения

  8. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,915
    Вес репутации
    141
    Через Панель управления - Удаление программ - удалите нежелательное ПО:
    Bonjour
    Malwarebytes version 4.3.0.98 - устаревшая версия, тоже пока удалите.

    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать (Scan).
    После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.08.2010
    Сообщений
    25,572
    Вес репутации
    751
    + Ещё раз пролечитесь AVbr, до того как собирать логи FRST, но уже из под обычного режима.

  10. Это понравилось:


  11. #9
    Junior Member Репутация
    Регистрация
    27.07.2022
    Сообщений
    5
    Вес репутации
    1
    regist,
    Вложения Вложения

  12. #10
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,915
    Вес репутации
    141
    В целом порядок. Немного мусор почистим.

    Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
    • Отключите до перезагрузки антивирус.
    • Выделите следующий код:
      Код:
      Start::
      CloseProcesses:
      SystemRestore: On
      CreateRestorePoint:
      HKU\S-1-5-21-818494727-3219944268-3036770894-1000\...\MountPoints2: {c167ff33-37f7-11eb-ae15-50465d75fa52} - F:\HiSuiteDownLoader.exe
      HKU\S-1-5-21-818494727-3219944268-3036770894-1000\...\MountPoints2: {c167ff3b-37f7-11eb-ae15-50465d75fa52} - F:\HiSuiteDownLoader.exe
      Task: {20B49B13-6EC9-412A-8BFD-4AE4C49000AE} - System32\Tasks\User => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v User /t REG_SZ /d "cmd.exe /c start www.dipladoks.org"
      C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
      C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
      C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
      CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
      S2 MBAMInstallerService; C:\Users\User\AppData\Local\Temp\MBAMInstallerService.exe [106183880 2022-07-27] (Malwarebytes Inc -> Malwarebytes) <==== ВНИМАНИЕ
      S2 MBAMService; "E:\Programms\MBAMService.exe" [X]
      Unlock: C:\ProgramData\FingerPrint
      2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 __SHD C:\ProgramData\FingerPrint
      2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 ____D C:\Users\User\AppData\Roaming\RMS_settings
      2022-07-26 21:57 - 2022-07-26 21:57 - 000000000 ____D C:\Program Files (x86)\IObit
      2022-07-26 21:56 - 2022-07-26 21:56 - 000000000 ___HD C:\Users\John
      WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
      WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
      WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
      AlternateDataStreams: C:\ProgramData:482EE99B1E21CE8C [217]
      AlternateDataStreams: C:\ProgramData:7B960018726E53D1 [217]
      AlternateDataStreams: C:\ProgramData:NT [40]
      AlternateDataStreams: C:\ProgramData:NT2 [638]
      AlternateDataStreams: C:\Users\All Users:482EE99B1E21CE8C [217]
      AlternateDataStreams: C:\Users\All Users:7B960018726E53D1 [217]
      AlternateDataStreams: C:\Users\All Users:NT [40]
      AlternateDataStreams: C:\Users\All Users:NT2 [638]
      AlternateDataStreams: C:\Users\Все пользователи:482EE99B1E21CE8C [217]
      AlternateDataStreams: C:\Users\Все пользователи:7B960018726E53D1 [217]
      AlternateDataStreams: C:\Users\Все пользователи:NT [40]
      AlternateDataStreams: C:\Users\Все пользователи:NT2 [638]
      AlternateDataStreams: C:\ProgramData\Application Data:482EE99B1E21CE8C [217]
      AlternateDataStreams: C:\ProgramData\Application Data:7B960018726E53D1 [217]
      AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
      AlternateDataStreams: C:\ProgramData\Application Data:NT2 [638]
      AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [210]
      AlternateDataStreams: C:\Users\User\Application Data:NT [40]
      AlternateDataStreams: C:\Users\User\Application Data:NT2 [638]
      AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
      AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [638]
      AlternateDataStreams: C:\Users\User\AppData\Local\4o8K8OwtR7IK:hgCZcWgIF3dc76cEg6 [2288]
      AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:HCzOyrZpEet8xlOAvyu [1992]
      FirewallRules: [{1DEDD06F-03E7-4791-8C8B-8718E5DC59BD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
      FirewallRules: [{614DB207-A644-47E4-AAF7-220F5772FE5E}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
      FirewallRules: [{9E5E94DB-55D1-402D-9420-8E89077DF439}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
      FirewallRules: [{CE51A597-5A0B-4A84-8B9E-7EE348BF1098}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
      ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
      EmptyTemp:
      Reboot:
      End::
    • Скопируйте выделенный текст (правой кнопкой - Копировать).
    • Запустите FRST (FRST64) от имени администратора.
    • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

    Компьютер будет перезагружен автоматически.

  13. #11
    Junior Member Репутация
    Регистрация
    27.07.2022
    Сообщений
    5
    Вес репутации
    1
    Sandor,
    Вложения Вложения

  14. #12
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.11.2007
    Сообщений
    3,915
    Вес репутации
    141
    Отлично, завершаем:

    1.
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

    Остальные утилиты лечения и папки можно просто удалить.

    2.
    • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    • Прикрепите этот файл к своему следующему сообщению.

Похожие темы

  1. Поймал вирус майнер
    От ГорячевВладимир в разделе Помогите!
    Ответов: 15
    Последнее сообщение: 19.08.2016, 18:22
  2. Поймал майнер Tool.BtcMine.652 помогите пожалуйста
    От AntonSaenko в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 24.01.2016, 23:10
  3. Поймал вирус (майнер)
    От alaksion в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 23.11.2015, 21:06
  4. Ответов: 7
    Последнее сообщение: 22.11.2014, 23:41
  5. Поймал майнер биткоинов.
    От D4RK_RA1N в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 31.05.2014, 20:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01237 seconds with 18 queries