Решена Майнер TCP dialer.exe

  • Автор темы Автор темы Xander
  • Дата начала Дата начала

Переводчик Google
Xander

Xander

Новый пользователь
Сообщения
7
Реакции
2
Добрый день. На ПК своей девушки столкнулся с проблемами ужасной производительности и зависаний "намертво". Скачал Cureit, тот обнаружил подозрения на майнер "dialer.exe" (\Net\7816\TCP\188.127.247.32-3333\Device\HarddiskVolume4\Windows\System32\dialer.exe). Пожалуйста, помогите избавиться от этой какахи.
 

Вложения

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 QuarantineFile('C:\Users\Anastasi\AppData\Roaming\utorrent\UtorrentWeb.exe', '');
 DeleteFile('C:\Users\Anastasi\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 DeleteSchedulerTask('UpdateTorrent');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

Затем:

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.
  • Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
  • После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
  • Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
  • По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
  • Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Затем:

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

Итого:

1) Скрипт AVZ.
2) Перезагрузка, отправка карантина
3) Сканирование и лог DoesNotBelong
4) Сканирование и лог FRST
 
Уважаемый Severnyj! Сделал всё, как вы просили. Файл карантина AV_Z отправил по предоставленной вами почте, т.к. размер архива превышал допустимый вес. Ниже архивом Scanlogs прикрепляю логи сканирования Farbar и Doesnotbelong.

 

Вложения

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
C:\Users\Anastasi\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\dkhmcfillejahminclclcnemkoobhomk
CHR HKU\S-1-5-21-3055864406-2134651979-2748375454-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
C:\Users\Anastasi\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\imcbcfifeggclnldhcgpmedffmhkidic
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-11-14] (Microsoft Windows -> Microsoft Corporation)
2025-08-30 18:23 - 2025-11-23 21:03 - 000000000 ____D C:\ProgramData\yzksdkbakpnl
2025-08-30 18:23 - 2025-10-09 17:28 - 000000000 ____D C:\Users\Anastasi\AppData\Local\MSfree Inc
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\Anastasi"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyEventLogs:
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Скрипт выполнил, Лог прикрепил.
 

Вложения

Severnyj написал(а):
Включите защиту от подделки в Защитнике Windows.

Сообщите, что с проблемой?
Нажмите для раскрытия...
Проверяю с помощью Cureit. Больше этой угрозы он не определяет. Судя по всему, вопрос был решён - это ощущается даже в элементарной производительности компьютера. Засим, благодарю вас за моментальную помощь и компетентную поддержку, уважаемый Severnyj. Желаю вам удачи и успехов во всех начинаниях.
обнял
 
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Farbar успешно деинсталлировал. Seccheck скачал, сканирование произвёл:
 

Вложения

Завершаем.

Обновите ПО:

CrystalDiskInfo 9.7.0 v.9.7.0 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20375 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
AIDA64 Extreme v7.70 v.7.70 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.206.1021.0003 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Discord v.1.0.9181 Внимание! Скачать обновления
Proton VPN v.4.2.2 Внимание! Скачать обновления
qBittorrent v.5.0.4 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^

+++


Severnyj

Тема 'Рекомендации после удаления вредоносного ПО'

  1. Удалите инструменты, которые были использованы во время лечения:​

  2. Создайте новую точку восстановления и удалите старые точки.​

    1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    2. Нажмите Пуск - Программы – Стандартные –...
  • Like
 
  • Like
Реакции: akok
Большое вам спасибо, уважаемый Severnyj! Всего вам доброго и всех благ!
 
  • Like
Реакции: akok
Удачи! Не болейте больше.
 
  • Like
Реакции: akok
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу