Показать полную графическую версию : Проблема с майнером
Здравствуйте.
По неосторожности поймал майнер. Никакие антивирусы не помогают. Наткнулся на данную тему http://forum.oszone.net/post-2930773.html
Может мне тоже поможете?
Сделал скан FRST. Прикрепляю логи.
Скачайте, распакуйте и запустите (от имени администратора) AV block remover ('https://www.safezone.cc/resources/av-block-remover-avbr.224/').
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe)
После соберите комплект голов (как в правилах раздела).
Прикрепляю созданный файл
166743
соберите комплект логов (как в правилах раздела) »
Теперь, пожалуйста, выполните правила и прикрепите архив с именем CollectionLog
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)
Соберите новые логи по этой инструкции:
Скачайте Farbar Recovery Scan Tool (https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').
Командный файл в автозапуске - old_dpi.cmd - вам известен?
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-4255703167-1493315471-1736984353-1001\...\MountPoints2: {082801d7-cc08-11ea-869b-3052cb75a1ac} - "F:\Setup.exe"
HKU\S-1-5-21-4255703167-1493315471-1736984353-1001\...\MountPoints2: {e3da6110-4af7-11e8-85f9-3052cb75a1ac} - "G:\DriverPackSolution.exe"
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\Asus\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0068F481-3CF5-435B-AAF7-EDAF6E3ED733} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostMO => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {6FBB3964-754A-4C89-986D-74B01539DA22} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {8B50A8F8-63C8-4320-A2E2-C1866D9218A5} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostOnlogon => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {CF17E5C5-3C4E-4B9A-83CA-02FF30DB1CF0} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
FF Extension: (Стартовая — Яндекс) - C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\rjolyq8m.default\Extensions\homeutil@yandex.r u.xpi [2017-12-07]
C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
U3 aswbdisk; отсутствует ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
FirewallRules: [{21EFB443-1392-4851-94ED-8BC911A36009}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17760/').
Это скрипт, который фиксит разрешение открываемых окон. Без него всё большое и пикселезованное.
По ощущениям - да.
Кулеры не шумят без причины, процессов NT Kernal в диспетчере нет, перестали сами закрываться окна и браузер.
Спасибо за оперативную помощь.
Отлично!
Завершающие шаги:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления (https://www.microsoft.com/ru-ru/software-download/windows10)
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1266.15063.0 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4586782)
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.33.0 Внимание! Скачать обновления (https://git-scm.com/download/win)
Node.js v.16.13.0 Внимание! Скачать обновления (https://nodejs.org/en/download/current/)
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Silverlight v.5.1.50907.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual Studio Code (User) v.1.63.2 Внимание! Скачать обновления (https://code.visualstudio.com/download)
Foxit Reader v.9.1.0.5096 Внимание! Скачать обновления (https://www.foxitsoftware.com/ru/pdf-reader/)
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.8.1.3 Внимание! Скачать обновления (https://notepad-plus-plus.org/downloads/)
TeamViewer 14 v.14.7.1965 Внимание! Скачать обновления (https://download.teamviewer.com/download/TeamViewer_Setup.exe)
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления (https://www.ghisler.com/download.htm)
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления (https://discordapp.com/api/download?platform=win)
Zoom v.5.9.0 (2481) Внимание! Скачать обновления (https://zoom.us/client/latest/ZoomInstaller.exe)
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления (https://openvpn.net/community-downloads/)
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.46097 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.01.1703, 15.03.2016 Внимание! Скачать обновления (https://aimp.ru/files/windows/builds/aimp_5.02.2370.exe)
K-Lite Mega Codec Pack 14.5.0 v.14.5.0 Внимание! Скачать обновления (https://files3.codecguide.com/K-Lite_Codec_Pack_1700_Mega.exe)
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 86.0.4363.70 v.86.0.4363.70 Внимание! Скачать обновления (https://net.geo.opera.com/opera_gx/stable/windows?utm_tryagain=yes)
^Проверьте обновления через меню О программе!^
Opera Stable 87.0.4390.45 v.87.0.4390.45 Внимание! Скачать обновления (https://net.geo.opera.com/opera/stable/windows)
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра (https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities). Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware (https://www.malwarebytes.org/mwb-download/). Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
На перечисленное обратите внимание и по возможности исправьте.
Читайте Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)
Хорошо, по возможности постараюсь исправить.
Ещё раз спасибо.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.