Решена Нужна помощь в удалении heur trojan script miner gen

Статус
В этой теме нельзя размещать новые ответы.
I

ildar.iglikov

Новый пользователь
Сообщения
7
Реакции
1
Привет, скачал кряк на autocad, но во время установки, меня начали смущать процессы которые запускались. После перезагрузки появилась надпись от касперского - найден heur trojan script miner gen. И теперь:
Диспетчер через раз открывается, антивирусы тоже не открывается. Помогите решить)
 

Вложения

  • FRST.txt
    53.8 KB · Просмотры: 2
  • Addition.txt
    36.8 KB · Просмотры: 1
  • Shortcut.txt
    131.4 KB · Просмотры: 0
Последнее редактирование:
WhatsApp Image 2023-08-18 at 19.11.51.jpeg
 
Сами блокировали запуск файла C:\Windows\System32\ServerManager.exe для некоторых пользователей?

По логам видно, что Вы запускали AV block remover. Прикрепите лог его работы.
 
thyrex написал(а):
Сами блокировали запуск файла C:\Windows\System32\ServerManager.exe для некоторых пользователей?

По логам видно, что Вы запускали AV block remover. Прикрепите лог его рабоч
Нажмите для раскрытия...
Первый раз удалось запустить, что то проделал даже вроде удалил. А вот второй вроде пустой после запуска повторно
 

Вложения

  • AV_block_remove_2023.08.18-20.22.log
    11.4 KB · Просмотры: 1
  • AV_block_remove_2023.08.18-20.50.log
    3.7 KB · Просмотры: 0
Последнее редактирование:
Да, на учетках пользователей блокирую. Мешает им. Спасибо добрый человек)
 
С майнером утилита справилась. Антивирус похоже реагирует на временный файл, оставшийся после перехода на страницу скачки кряка. Можно просто этот файл удалить вручную.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)
Код: 
Start::
CreateRestorePoint:
2023-08-18 17:27 - 2023-08-18 17:27 - 000000000 __SHD C:\ProgramData\princeton-produce
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{48d0e3b3-554e-475d-8767-81cc1e6e4b56}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Temp\7\v8_E6DE_7a.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{78adc396-8e83-401a-9f79-5fa16f0df78d}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Temp\7\v8_E6DE_7a.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{8600d91f-2e67-4287-93fc-da5ea9fabaea}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Temp\7\v8_E6DE_7a.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{945f64e3-53a0-4ed8-a5c8-62b5d33f7dc8}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Temp\7\v8_E6DE_7a.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{981887f8-3507-487f-be94-2044093dfce2}\InprocServer32 -> C:\Users\Администратор\AppData\Local\Temp\7\v8_E6DE_7a.tmp => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => Нет файла
CustomCLSID: HKU\S-1-5-21-2286667033-3222245731-2248293664-500_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2014\ru-RU\acadficn.dll => Нет файла
End::
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: перезагрузку компьютера после фикса возможно придется выполнить вручную.
 
Сделал, от души спасибо добрый человек)
 

Вложения

  • Fixlog.txt
    4.1 KB · Просмотры: 1
  • Like
Реакции: akok
Да ушла полностью, но завтра точно скажу не снесли ли рдп на несколько пользователей
 
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу