Здравствуйте, появилась проблема-после скачивания торрент файла на пк предположительно занёс майнер: После перезагрузки заметил повышенный шум, при открытии диспетчера заметна нагрузка на ЦП в 100 процентов и левый процесс System32, при закрытии которого он запускался по новой, а переход в расположение закрывал ветвь, вместе с диспетчером. Спустя какое то время диспетчер стал сам закрываться спустя пару секунд, штатного Defender'а на компьютере почему то найти не смог, сторонние Антивирусы не устанавливаются и сайты с ними автоматически закрываются, вместе с браузером. Начитавшись интернетов пришёл к решению запустить шиндоус с безопасного режима, с этого момента и начались проблемы-якобы неверный пароль при входе в учётную запись. Не знаю что делать. Я чайник по большей части, хотелось бы получить развёрнутый ответ что с этим делать. А так же ещё один вопрос. На компьютере особо важных файлов нет-Поможет ли банальный снос виндоус с форматированием?
Закрыто Майнер (предположительно так называемый JOHN)
- Статус
- Сообщения
- 16,367
- Реакции
- 3,440
Здравствуйте!
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
Конечно поможет. Но можем попробовать вылечить.
Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.
Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
Как я уже писал, после захода в безопасный режим не могу получить доступ к рабочему столу, изменения режима на обычный ничего не исправил, пишет мол неверный пароль.
Последнее редактирование:
- Сообщения
- 24,989
- Реакции
- 13,675
Тогда
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Если совсем проблемы, то
www.safezone.cc
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Если совсем проблемы, то
SafeZone Malware Cure LiveCD
Дисклеймер: Данный LiveCD создавался для помощи в удалении определенного типа вредоносного ПО, поэтому набор дополнительных инструментов ограничен и для полноценной работы требуется доступ к сети Интернет, т.к. некоторые утилиты лечения...
Спасибо, хватит ли мне вшитого набора программ в LiveCD, для первоначального этапа, или же надо что то заранее докачивать?Тогда
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.
Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Если совсем проблемы, то
SafeZone Malware Cure LiveCD
Дисклеймер: Данный LiveCD создавался для помощи в удалении определенного типа вредоносного ПО, поэтому набор дополнительных инструментов ограничен и для полноценной работы требуется доступ к сети Интернет, т.к. некоторые утилиты лечения...
- Сообщения
- 24,989
- Реакции
- 13,675
Под LiveCD так и должно быть.
После запускайте ПК в обычном режиме и дочищайте систему
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender HKU\dhfdg\...\Policies\Explorer: [DisallowRun] 1 HKU\dhfdg\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [11] Cube.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [12] AVbr.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [13] AV_br.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [14] KVRT.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [15] cureit.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [24] Cureit.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [25] TDSSKiller.exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [26] KVRT(1).exe HKU\dhfdg\...\Policies\Explorer\DisallowRun: [27] rkill.exe HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {78964DE7-C3D9-456C-AA60-3B11FD9E483D} - System32\Tasks\Microsoft\Windows\CheckGlobalT\1snCE31yZJjs => C:\Programdata\ReaItekHD\taskhost.exe [22779920 2023-09-29] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {4672ADEE-2D50-4157-849B-8A27C08A10D1} - System32\Tasks\Microsoft\Windows\CheckGlobalT\RecoveryHosts => C:\ProgramData\Microsoft\Windows\1snCE31yZJjs\CheckGlobalT.bat [2775 2024-04-12] () <==== ВНИМАНИЕ Task: {9B75206C-C396-42A3-BF5D-C292C79EE93F} - System32\Tasks\Microsoft\Windows\CheckGlobalT\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ Task: {0E8CC14A-8E5A-4641-84A3-03F47669825A} - System32\Tasks\Microsoft\Windows\MasterDataM\lZcUMZfYih60UKWS36q => C:\Programdata\ReaItekHD\taskhost.exe [22779920 2023-09-29] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {9A52D42F-08A2-40FA-A91A-6014BE9EBBF7} - System32\Tasks\Microsoft\Windows\MasterDataM\RecoveryHosts => C:\ProgramData\Microsoft\Windows\lZcUMZfYih60UKWS36q\MasterDataM.bat [2815 2024-04-12] () <==== ВНИМАНИЕ Task: {1AD3E9EF-D178-4AC0-9313-3B62B5BF37BC} - System32\Tasks\Microsoft\Windows\MasterDataM\RecoveryTask => C:\Programdata\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ Task: {23BE5B7D-C11F-4D5A-BC4B-772A0D382DC2} - System32\Tasks\Microsoft\Windows\WindowsBackup\CashClean => C:\Programdata\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ Task: {B31732AD-0C47-497E-9833-8CDF81614005} - System32\Tasks\Microsoft\Windows\WindowsBackup\CleanCash => C:\Programdata\ReaItekHD\taskhost.exe [22779920 2023-09-29] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {64849D7E-2BA3-404B-8ED7-1B2F6F3DBB23} - System32\Tasks\Microsoft\Windows\WindowsBackup\GlobalData => C:\Windows\SysWOW64\unsecapp.exe [13683216 2023-08-07] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {06111117-6C7E-48FF-B74E-D6A9A70D46B4} - System32\Tasks\Microsoft\Windows\WindowsBackup\ManagerService => C:\Programdata\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ Task: {0A255CE5-0D2C-420E-AE0C-55DE6E95C801} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe [29500432 2023-09-29] (Realtek Semiconductor) <==== ВНИМАНИЕ Task: {EE208D43-9312-41DA-A8DF-9EA9BE7E7571} - System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem => C:\Programdata\ReaItekHD\taskhost.exe [22779920 2023-09-29] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {4F937413-5541-484E-A743-0E8B1B68D27D} - System32\Tasks\Microsoft\Windows\WindowsBackup\SysFiles => C:\Windows\SysWOW64\unsecapp.exe [13683216 2023-08-07] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {650A661A-5DB6-4756-A88F-6DC3D5482417} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe [22779920 2023-09-29] (Microsoft Corporation) <==== ВНИМАНИЕ Task: {0064E908-19B9-4DF2-9818-07ED66457E78} - System32\Tasks\Microsoft\Windows\Wininet\winser => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) -> Task Service\winserv.exe <==== ВНИМАНИЕ Task: {3AAE5C57-8A82-478D-9416-DBCEF7C0ED5E} - System32\Tasks\Microsoft\Windows\Wininet\winsers => C:\ProgramData\Windows Tasks Service\winserv.exe [10675712 2021-05-28] (tox) -> Task Service\winserv.exe <==== ВНИМАНИЕ S2 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2024-04-12] (Stas'M Corp.) <==== ВНИМАНИЕ (отсутствует ServiceDLL) 2024-04-12 22:02 - 2024-04-12 22:02 - 000000000 __SHD C:\Users\dhfdg\Downloads\AV_block_remover 2024-04-12 22:02 - 2024-04-12 22:02 - 000000000 __SHD C:\Users\dhfdg\Downloads\AutoLogger 2024-04-12 22:02 - 2024-04-12 22:02 - 000000000 __SHD C:\Users\dhfdg\Desktop\AV_block_remover 2024-04-12 22:02 - 2024-04-12 22:02 - 000000000 __SHD C:\Users\dhfdg\Desktop\AutoLogger End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
После запускайте ПК в обычном режиме и дочищайте систему
Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Перед загрузкой в обычный режим хотел бы поинтересоваться? Какой утилитой можно сбросить пароль пользователя, в случае если в обычном режиме я так же не смогу попасть в учетную запись, заранее спасибо!(Изменено)
После загрузки в обычном режиме все так же нет доступа к рабочему столу из за неверного пароля. На форумах нашел пару программ, но судя из описания их надо загружать отдельно образом, есть ли возможность добавить их уже в имеющийся образ LiveCD?
После загрузки в обычном режиме все так же нет доступа к рабочему столу из за неверного пароля. На форумах нашел пару программ, но судя из описания их надо загружать отдельно образом, есть ли возможность добавить их уже в имеющийся образ LiveCD?
Последнее редактирование:
Появилась новая проблема, даже в LiveCD перестали запускаться Антивирусы, При первом запуске LiveCD ,Cureit! еще смог открыться, нашел вредоносные файлы и пролечил их, сейчас же после загрузки в cmd они банально не открываются....
В этом и проблема, на компьютере стоит учетка зарегистрированная не мной ( лень поменять на свою портит в данный момент весь процесс борьбы) Сменить на сайте банально нет возможности-не знаю данных. На другом форуме нашел статью о(скорее всего) этом вирусе(либо крайне похожем), где как говорит автор и некоторые пользователи ,столкнувшиеся с ним- снос винды не помогает(задумывался о крайних мерах), мол не видит диск при установке(если дадите добро ,я бы дал ссылку, ВОЗМОЖНО описание там поможет Вам, объяснить мне что делать)(не реклама, ни в коем случае). Поэтому единственное что я могу в данный момент, по моим выводам-работать через livecd. Но как писал выше, вторая и последующие загрузки в нем не дают больших результатов-чтоб временно приостановить работу вируса помещением в карантин, либо же удалить не помогают-антивирус банально перестал запускаться(как понимаю вирус «регенерирует») Все таки надеюсь, что есть возможность сноса пароля через образ. Спасибо, ибо руки начинают опускаться. Так же ниже прикрепил что выявил Курейт в при первоначальном сканировании.
Вложения
- Сообщения
- 24,989
- Реакции
- 13,675
В сборку я добавлял
1. Cureit может сбоить, в там случае лучше перезапустить Livecd
2. По детектам, только первый, это запчасть от майнера, остальное "мусор".
- NTPWEdit
- Windows Login Unlocker
1. Cureit может сбоить, в там случае лучше перезапустить Livecd
2. По детектам, только первый, это запчасть от майнера, остальное "мусор".
Прикрепил новые логи FRSТ/additional. По поводу защитника, показывает что приложение не найдено, в быстром доступе отсутствует, в параметрах такая же история , возобновление его работы из PowerShell результата не дало. Из подозрительных процессов остались runtime broker с другой иконкой(ведет в корень System32), и задача с названием Com Surrogate, которых при заражении было минимум 4, сейчас 1. Yandex которым я пользуюсь теперь в фоне тоже грузит Цп, вплоть до 100 процентов
Вложения
Последнее редактирование:
В папке Temp обнаружились exe файлы с рандомными символами, использующие иконку Drweb которые тоже сильно грузят пк/ Комб клавиш сtrl+alt+delete не работают(работали до заражения вирусом). Только через ctrl+shift+esc есть доступ к диспетчеру
Последнее редактирование:
- Сообщения
- 24,989
- Реакции
- 13,675
Нужны подробности
Тут нужно понимать, если ОС сборка и защитник вырезан сборщиком, то попытка откачать защитника, может окирпичить ОС. Попробуйте вернуть по инструкции
Reset Windows Security app in Windows 11 Tutorial
This tutorial will show you how to reset the Windows Security app for your account or all users in Windows 11. Windows Security is built-in to Windows 11 and includes an antivirus program called Microsoft Defender Antivirus. Your device will be actively protected from the moment you start...
www.elevenforum.com
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-149216175-2503603312-3413954446-1001\...\Run: [YandexBrowserAutoLaunch_A4E7B6553E4BCE9E3CB15AC48248443C] => "C:\Users\dhfdg\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла) FirewallRules: [{4404695A-CF51-490F-9450-1D622345C2D6}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E60C106F-1F8D-40F4-BC8A-F519497FDC4E}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла EmptyTemp: Reboot: End:: - Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
- Сообщения
- 24,989
- Реакции
- 13,675
это запчасти cureit
Вот что выдает powershell/ Но почему то путь идет из windows а не из users как указано в инструкциях, изменить его как то можно? Или так и должно быть?Нужны подробности
Тут нужно понимать, если ОС сборка и защитник вырезан сборщиком, то попытка откачать защитника, может окирпичить ОС. Попробуйте вернуть по инструкции
Reset Windows Security app in Windows 11 Tutorial
This tutorial will show you how to reset the Windows Security app for your account or all users in Windows 11. Windows Security is built-in to Windows 11 and includes an antivirus program called Microsoft Defender Antivirus. Your device will be actively protected from the moment you start...
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Компьютер будет перезагружен автоматически.
- Отключите до перезагрузки антивирус.
- Выделите следующий код:
Код:Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-149216175-2503603312-3413954446-1001\...\Run: [YandexBrowserAutoLaunch_A4E7B6553E4BCE9E3CB15AC48248443C] => "C:\Users\dhfdg\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла) FirewallRules: [{4404695A-CF51-490F-9450-1D622345C2D6}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла FirewallRules: [{E60C106F-1F8D-40F4-BC8A-F519497FDC4E}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла EmptyTemp: Reboot: End::- Скопируйте выделенный текст (правой кнопкой - Копировать).
- Запустите FRST (FRST64) от имени администратора.
- Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Подробнее читайте в этом руководстве.
Вложения
- Статус