Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум
Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  

Название темы: Появляется троян netsvc.exe и майнер winlogonr.exe
Показать сообщение отдельно

Аватара для Sandor

Ветеран


Консультант


Сообщения: 5255
Благодарности: 1319

Профиль | Отправить PM | Цитировать

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: Выделить весь код
    Start::
WMI:CIMV2\__TimerInstruction->__AStagingTimer::
WMI:CIMV2\__TimerInstruction->__IStagingTimer::
WMI:CIMV2\__AbsoluteTimerInstruction->__AStagingTimer::
WMI:CIMV2\__IntervalTimerInstruction->__IStagingTimer::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StagingFilter\"::
WMI:subscription\__FilterToConsumerBinding->ActiveScriptEventConsumer.Name=\"__StagingConsumer\"",Filter="__EventFilter.Name=\"__StartupFilter\"::
WMI:subscription\__EventFilter->__StartupFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System' AND TargetInstance.SystemUpTime >= 200 AND TargetInstance.SystemUpTime < 320]
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\__EventFilter->__StagingFilter::[Query => SELECT * FROM __TimerEvent WHERE TimerID = '__IStagingTimer' OR TimerID = '__AStagingTimer']
WMI:subscription\ActiveScriptEventConsumer->__StagingConsumer::[ScriptText => function s(e){var t=new ActiveXObject("ADODB.Stream");t.Type=1,t.Open(),t.Write(e),t.Position=0,t.Type=2,t.CharSet="UTF-16LE";var n=t.ReadText(),r=[];for(var i=0;i<n.length;i++){var s=n.charCodeAt(i);r.push(s&255),r.push(s>>8&255)}return r}function o(e){var e=s(e),t=e.slice(0,32),n=e.slice(32),r=""; (запись имеет ещё 907 символов).]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

Четыре администратора - не многовато ли?

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:48, 16-08-2021 | #6

Название темы: Появляется троян netsvc.exe и майнер winlogonr.exe