Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Проблема с майнером (http://forum.oszone.net/showthread.php?t=351389)

BeVlAn 16-06-2022 21:11 2986733
Проблема с майнером
 
Вложений: 2
Здравствуйте.
По неосторожности поймал майнер. Никакие антивирусы не помогают. Наткнулся на данную тему http://forum.oszone.net/post-2930773.html
Может мне тоже поможете?
Сделал скан FRST. Прикрепляю логи.

akok 17-06-2022 01:09 2986738
Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe)

После соберите комплект голов (как в правилах раздела).

BeVlAn 17-06-2022 05:48 2986745
Вложений: 1
Прикрепляю созданный файл
Файл 166743

Sandor 17-06-2022 10:48 2986758
Цитата:
Цитата akok
соберите комплект логов (как в правилах раздела) »
Теперь, пожалуйста, выполните правила и прикрепите архив с именем CollectionLog
Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

BeVlAn 17-06-2022 11:17 2986767
Вложений: 1
CollectionLog

Sandor 17-06-2022 11:19 2986769
Соберите новые логи по этой инструкции:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

BeVlAn 17-06-2022 11:34 2986774
Вложений: 2
FRST.txt и Addition.txt

Sandor 17-06-2022 11:44 2986776
Командный файл в автозапуске - old_dpi.cmd - вам известен?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-4255703167-1493315471-1736984353-1001\...\MountPoints2: {082801d7-cc08-11ea-869b-3052cb75a1ac} - "F:\Setup.exe"
    HKU\S-1-5-21-4255703167-1493315471-1736984353-1001\...\MountPoints2: {e3da6110-4af7-11e8-85f9-3052cb75a1ac} - "G:\DriverPackSolution.exe"
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\Asus\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0068F481-3CF5-435B-AAF7-EDAF6E3ED733} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostMO => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {6FBB3964-754A-4C89-986D-74B01539DA22} - System32\Tasks\Microsoft\Windows\Wininet\RealtekMO => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {8B50A8F8-63C8-4320-A2E2-C1866D9218A5} - System32\Tasks\Microsoft\Windows\Wininet\TaskhostOnlogon => C:\Programdata\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
    Task: {CF17E5C5-3C4E-4B9A-83CA-02FF30DB1CF0} - System32\Tasks\Microsoft\Windows\Wininet\RealtekOnLogon => C:\Programdata\RealtekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
    FF Extension: (Стартовая — Яндекс) - C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\rjolyq8m.default\Extensions\homeutil@yandex.ru.xpi [2017-12-07]
    C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp
    C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\lalfiodohdgaejjccfgfmmngggpplmhp
    U3 aswbdisk; отсутствует ImagePath
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{21EFB443-1392-4851-94ED-8BC911A36009}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

BeVlAn 17-06-2022 11:51 2986777
Это скрипт, который фиксит разрешение открываемых окон. Без него всё большое и пикселезованное.

BeVlAn 17-06-2022 11:55 2986778
Вложений: 1
Fixlog

Sandor 17-06-2022 12:12 2986779
Хорошо. Проблема решена?

BeVlAn 17-06-2022 12:17 2986781
По ощущениям - да.
Кулеры не шумят без причины, процессов NT Kernal в диспетчере нет, перестали сами закрываться окна и браузер.
Спасибо за оперативную помощь.

Sandor 17-06-2022 12:20 2986783
Отлично!
Завершающие шаги:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

BeVlAn 17-06-2022 12:29 2986785
Вложений: 1
SecurityCheck

Sandor 17-06-2022 12:36 2986786
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Internet Explorer 11.1266.15063.0 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.33.0 Внимание! Скачать обновления
Node.js v.16.13.0 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
Microsoft Silverlight v.5.1.50907.0 Данная программа больше не поддерживается разработчиком.
Microsoft Visual Studio Code (User) v.1.63.2 Внимание! Скачать обновления
Foxit Reader v.9.1.0.5096 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Notepad++ (32-bit x86) v.8.1.3 Внимание! Скачать обновления
TeamViewer 14 v.14.7.1965 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64+32-bit (Remove or Repair) v.9.22a Внимание! Скачать обновления
WinRAR 5.50 (64-разрядная) v.5.50.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.9.0 (2481) Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent v.7.10.5.46097 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent v3.5.5.46096 v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
AIMP v.v4.01.1703, 15.03.2016 Внимание! Скачать обновления
K-Lite Mega Codec Pack 14.5.0 v.14.5.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera GX Stable 86.0.4363.70 v.86.0.4363.70 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Opera Stable 87.0.4390.45 v.87.0.4390.45 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.


На перечисленное обратите внимание и по возможности исправьте.

Читайте Рекомендации после лечения.

BeVlAn 17-06-2022 12:50 2986788
Хорошо, по возможности постараюсь исправить.
Ещё раз спасибо.


Время: 16:51.

Время: 16:51.
© OSzone.net 2001-