Решена Нужна помощь с удалением вируса-майнера John

Статус
В этой теме нельзя размещать новые ответы.
Y

Yepe

Новый пользователь
Сообщения
8
Реакции
1
Подхватил вирус. Случайно обнаружил пользователя John, погуглил, и вроде как выяснил, что это майнер. Сканировал через Dr.Web CureIt! были проблемные файлы(например rdpwrap.dll) но вроде все удалил. Пользователя John тоже удали. Скачал Farbar Recovery Scan Tool и просканировал. Логи прикрепляю. Хочу узнать Осталась ли у меня еще проблема и что нужно делать?
 

Вложения

  • FRST.txt
    FRST.txt
    98.7 KB · Просмотры: 3
  • Addition.txt
    Addition.txt
    42.3 KB · Просмотры: 0
  • 1.webp
    1.webp
    35.1 KB · Просмотры: 31
Здравствуйте!

Да, проблемы есть и много.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
 
  • Like
Реакции: Yepe
Надеюсь все сделал правильно
Sandor написал(а):
Здравствуйте!

Да, проблемы есть и много.

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером по правилам раздела - Правила оформления запроса о помощи
Нажмите для раскрытия...
 

Вложения

Хорошо.
Не нужно только полностью цитировать предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

Удалите старые и соберите новые логи FRST.txt и Addition.txt
 
  • Like
Реакции: Yepe
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
InternetURL: C:\Users\emikd\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Driver.url -> URL: file:///C:\Users\Emilcik\AppData\Roaming\Sysfiles\Usermode.exe
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel 2016.lnk:F9B57EE960 [3434]
FirewallRules: [{6F196139-80BC-4C3C-9769-810545121135}] => (Allow) LPort=32682
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: Yepe
Ещё один скрипт выполните, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\System32"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)"
Remove-MpPreference -ExclusionPath "C:\Program Files"
Remove-MpPreference -ExclusionPath "C:\Users\emikd"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
Последнее редактирование:
  • Like
Реакции: Yepe
Только компьютер не перезагрузился в этот раз
 

Вложения

Прошу прощения, "выпала" одна команда.
Проделайте ещё раз.
 
  • Like
Реакции: Yepe
Теперь перезагрузился
 

Вложения

Хорошо. Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
  • Like
Реакции: Yepe
  • Like
Реакции: Yepe
Спасибо вам огромное, вы меня очень выручили!
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

F
  • Закрыта
Закрыто Нужна помощь с удалением майнера через FRST64.
Ответы
7
Просмотры
339
Sandor
Sandor
lucius96
Решена Нужна помощь с удалением остатков майнера
Ответы
7
Просмотры
347
akok
akok
EnterStay
  • Закрыта
Закрыто Нужна помощь с удалением вируса taskhostw.exe
Ответы
3
Просмотры
459
Sandor
Sandor
Назад
Сверху Снизу