Здравствуйте!
По глупости заразил компьютер майнером, прописавшим себя по пути C:\ProgramData\ .Майнер нагружал систему, самостоятельно закрывал окна приложений, антивируса AVZ, браузера при попытке зайти на сайты популярных антивирусов, прописал себя в hosts, а так же отключил отображение скрытых файлов и папок в проводнике Windows (при этом галочка в настройках стоит на отображение скрытых файлов и папок).
В безопасном режиме я провёл сканирование утилитой DrWeb CureIt и сделал удаление всех найденных угроз, кроме CheatEngine и AAct.exe (на фотографии).
Через TotalCommander нашёл файл hosts и стёр все строки кроме 127.0.0.1 localhost.
В AVZ выполнил "Восстановление настроек проводника", но скрытые файлы всё ещё не отображаются.
Удалил файлы планировщика заданий из папки C:\System32\Tasks\Microsoft\Windows\Wininet .
В редакторе реестра удалил все разделы, содержащие путь \Microsoft\Windows\Wininet .
В редакторе реестра по пути ...ControlSet001\Services\TermServices\Parameters заменил значение параметра Servicedll с %ProgramFiles%\RDP wrapper\rdpwrap.dll на %SystemRoot%\System32\termsrv.dll .
В редакторе реестра удалил все записи исключений для Windows Defender, а так же все политики фаервола, ссылающиеся на C:\ProgramData\WindowsTask .
В безопасном режиме запустил программу AVbr, удалил пользователя John и дождался выполнения скрипта -получил лог в 18:38
Затем я перезагрузился в обычный режим (с отключённым интернет-кабелем) и запустил AVbr ещё раз, получил лог в 18:51
Прошу подсказать дальнейшие действия для полного удаления данного майнера. Подключить компьютер к интернету для проверки удаления майнера не представляется возможным т.к. в квартире существует локальная сеть, а в одной из тем с подобной проблемой пользователь жаловался что этот майнер гулял по локальной сети их компьютерного клуба.
Спасибо за помощь!
По глупости заразил компьютер майнером, прописавшим себя по пути C:\ProgramData\ .Майнер нагружал систему, самостоятельно закрывал окна приложений, антивируса AVZ, браузера при попытке зайти на сайты популярных антивирусов, прописал себя в hosts, а так же отключил отображение скрытых файлов и папок в проводнике Windows (при этом галочка в настройках стоит на отображение скрытых файлов и папок).
В безопасном режиме я провёл сканирование утилитой DrWeb CureIt и сделал удаление всех найденных угроз, кроме CheatEngine и AAct.exe (на фотографии).
Через TotalCommander нашёл файл hosts и стёр все строки кроме 127.0.0.1 localhost.
В AVZ выполнил "Восстановление настроек проводника", но скрытые файлы всё ещё не отображаются.
Удалил файлы планировщика заданий из папки C:\System32\Tasks\Microsoft\Windows\Wininet .
В редакторе реестра удалил все разделы, содержащие путь \Microsoft\Windows\Wininet .
В редакторе реестра по пути ...ControlSet001\Services\TermServices\Parameters заменил значение параметра Servicedll с %ProgramFiles%\RDP wrapper\rdpwrap.dll на %SystemRoot%\System32\termsrv.dll .
В редакторе реестра удалил все записи исключений для Windows Defender, а так же все политики фаервола, ссылающиеся на C:\ProgramData\WindowsTask .
В безопасном режиме запустил программу AVbr, удалил пользователя John и дождался выполнения скрипта -получил лог в 18:38
Затем я перезагрузился в обычный режим (с отключённым интернет-кабелем) и запустил AVbr ещё раз, получил лог в 18:51
Прошу подсказать дальнейшие действия для полного удаления данного майнера. Подключить компьютер к интернету для проверки удаления майнера не представляется возможным т.к. в квартире существует локальная сеть, а в одной из тем с подобной проблемой пользователь жаловался что этот майнер гулял по локальной сети их компьютерного клуба.
Спасибо за помощь!
