Решена Подхватил майнер, помогите оч срочно

Статус
В этой теме нельзя размещать новые ответы.

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#1
ОЧень срочно, прошу помогите. Комп виснет, проц грузит на 100%. Пытаюсь скачать АВЗ, закрывается
Сообщения объединены:

Скачал программку небольшую, название не помню, я ее удалил сразу. После установки весь рабочий стол был засыпан ярлыками онлайн игр. В ютубе куча рекламы появилось, особенно про эл.валюту. Ну Dr Web CureIt почистил (обычно он помогал, если хватал вирусы). Реклама пропала, ярлыки убрались. Но вот остальное это писец. Почитал надо через АВЗ, пытаюсь скачать и закрываются страницы, папки, страницы поиска на ПК, везде где пишу АВЗ
 
Последнее редактирование:

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#3
Не пробовал, но если запустится, что нужно делать???
Сообщения объединены:

Запустил, как закончится сканирование прикреплю логи
Сообщения объединены:

Вот лог
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,318
Симпатии
1,580
Баллы
433
#4
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\iostream.exe');
 TerminateProcessByName('c:\programdata\microsoftcare.exe');
 TerminateProcessByName('c:\programdata\microsoftclip.exe');
 StopService('keeugpjr');
 QuarantineFile('C:\ProgramData\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}\CP8Z9ZN3.vbs', '');
 QuarantineFile('c:\programdata\iostream.exe', '');
 QuarantineFile('c:\programdata\microsoftcare.exe', '');
 QuarantineFile('c:\programdata\microsoftclip.exe', '');
 QuarantineFile('C:\ProgramData\TaskbarWindows\winstar.exe', '');
 QuarantineFile('C:\Users\X_DIM\AppData\Local\Optimizer\real.exe', '');
 QuarantineFile('C:\Windows\system32\drivers\qnwaeqsb.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{38C4833E-9AD5-3D57-8E2B-E35E434F3A60}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{784A515F-D929-9D86-DCE0-1B1889087AA1}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "JG2PQ80HVFN4EGNM3C" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\Root\UpdateSystem" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "QuickLaunch" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Starter" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Windows\SystemCare\Microsoft" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "WindowsRecoveryCleaner" /F', 0, 15000, true);
 DeleteFile('C:\ProgramData\{AGOI9H86-ZGNB-AGOI-G4K14M2ZR9I9}\CP8Z9ZN3.vbs', '');
 DeleteFile('c:\programdata\iostream.exe', '');
 DeleteFile('c:\programdata\microsoftcare.exe', '');
 DeleteFile('c:\programdata\microsoftclip.exe', '');
 DeleteFile('C:\ProgramData\TaskbarWindows\winstar.exe', '32');
 DeleteFile('C:\Users\X_DIM\AppData\Local\Optimizer\real.exe', '32');
 DeleteFile('C:\Windows\system32\drivers\qnwaeqsb.sys', '32');
 DeleteService('keeugpjr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'real.exe');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(3);
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.
 

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#7
Запускал АВЗ из архива, так понимаю архив карантина никуда не сохранился))) А лог сейчас скину
Сообщения объединены:

Вот лог. Напишите пожалуйста, что еще нужно делать
 

Вложения

Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,318
Симпатии
1,580
Баллы
433
#8
архив карантина никуда не сохранился
Здесь смотрели?
C:\Users\X_DIM\Downloads\AutoLogger\AutoLogger\AVZ\
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#9
++++ После лечения обязательно смените все важные пароли.

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробную инструкцию читайте в руководстве.
 

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#10
Здесь смотрели?



Нету здесь)))
Сообщения объединены:


Сообщения объединены:


Сообщения объединены:

Вот полные
Сообщения объединены:

А пароли вообще везде сменить? или только на ПК? Или соцсети и прочие сайты тоже?
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#11
А пароли вообще везде сменить? или только на ПК? Или соцсети и прочие сайты тоже?
Везде где заходили или были залогинены во время заражения. Gmer еще нужен
 

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#12
Ставлю GMER на проверку, и вырубает с синим экраном
Сообщения объединены:

Вот утром, браузер перезагрузился и открыл ссылку
https://durington.info/?tag_id=7153...p=blank&tb=redirect&allb=redirect&ob=redirect
Сообщения объединены:

Да, и посоветуйте антивир норм, чтоб не сильно нагружал, и норм сканировал
 
Последнее редактирование:

Sandor

Ассоциация VN/VIP
Сообщения
4,318
Симпатии
1,580
Баллы
433
#13
1. Отключите синхронизацию в Chrome, (если включена).
2. Сделайте Сброс настроек браузера Chrome.
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome
Убедитесь, что удалена папка
C:\Users\X_DIM\AppData\Local\Google\Chrome\
4. Пока не устанавливайте заново и соберите свежие логи FRST.txt и Addition.txt

браузер перезагрузился и открыл ссылку
Какой это был браузер?
 

X_DIM

Новый пользователь
Сообщения
33
Симпатии
2
Баллы
8
#16
Браузер удалил. Файлы прикрепил
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#17
Ставлю GMER на проверку, и вырубает с синим экраном
Не хорошо, тогда сменим инструмент ибо есть подозрение на руткит
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#19
Как и подозревал Rootkit.Win64.Agent.bbm
Запускайте сканирование заново и удаляйте найденное.

После удаления подготовьте свежий лог автологера будем удалять заразу со снятой защитой.
 
/div>

akok

Команда форума
Администратор
Сообщения
15,430
Симпатии
12,562
Баллы
2,203
#20
  1. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
  2. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу