Поймал майнер. Сел сам разбираться как что чинить в итоге с помощью AVbr вроде как одолел основные силы вражины. Только потом почитал что лучше проконсультироваться с знатоками. Плюс судя по логам коллектора что-то вроде осталось. Помогите, кто сможет короче. Прикладываю имеющиеся уже логи
- Статус
- Сообщения
- 16,461
- Решения
- 1
- Реакции
- 3,449
Здравствуйте!
"Пофиксите" в HijackThis только следующие строки:
Перезагрузите компьютер.
Включите защиту от подделки по этой инструкции:
safezone.cc
Удалите старые и соберите новые логи FRST.txt и Addition.txt
"Пофиксите" в HijackThis только следующие строки:
Код:
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O22 - Tasks: user - C:\Windows\system32\cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v user /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org" (sign: 'Microsoft')Включите защиту от подделки по этой инструкции:
Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство
Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря...
Удалите старые и соберите новые логи FRST.txt и Addition.txt
- Сообщения
- 16,461
- Решения
- 1
- Реакции
- 3,449
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Подробнее читайте в этом руководстве.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ Task: {7DA2F2CA-81A3-4379-9681-B62946CB0ED4} - \user -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-1435044681-3340891046-2307175185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] 2023-10-13 10:21 - 2023-10-13 10:21 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll 2023-10-13 10:21 - 2023-10-13 10:21 - 000000000 __SHD C:\ProgramData\princeton-produce ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 16,461
- Решения
- 1
- Реакции
- 3,449
Ранее выполняли какой-то чужой скрипт?
Ещё один небольшой выполните в безопасном режиме:
Ещё один небольшой выполните в безопасном режиме:
- Выделите следующий код:
Код:Start:: DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AppModule.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\AMD.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\WindowsTask\audiodg.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Windows\SysWow64\unsecapp.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhost.exe DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\Program Files\RDP Wrapper DeleteValue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths|C:\ProgramData\ReaItekHD\taskhostw.exe ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
- Сообщения
- 16,461
- Решения
- 1
- Реакции
- 3,449
Здравствуйте!
Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.
Спасибо за использование нашего форума и удачи!
Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.
Спасибо за использование нашего форума и удачи!
- Статус
Похожие темы
