Решена Поймал майнер на свой пк

[Koldyn]

Здравствуйте, помогите пожалуйста, я поймал майнер на свой пк. ЦП иногда стал нагружаться на 100%. При попытке скачать антивирусник, либо закрывает браузер до того как я прогружу сайт, либо не дает установщику запуститься. Логи прилагаю.

 

[Sandor]

Здравствуйте!

А почему забросили свою предыдущую тему? Компьютер тот же?

 

[Sandor]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем.

Если и так не сработает, запускайте из безопасного режима с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

 

[Koldyn]

Здравствуйте!

А почему забросили свою предыдущую тему? Компьютер тот же?

Да компьютер тот же, а тему к сожалению забросил по причине временного пребывания в больнице, а после возвращения из неё я и забыл про прошлую тему, да и проблем с пк не наблюдалось. И да майнер тот же, случайно наступил на одни и те же грабли как говорится

 

[Sandor]

Понятно. Надеюсь, сейчас со здоровьем лучше. Постараемся и компьютер ваш вылечить

 

[Koldyn]

Прикрепляю логи

 

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(20);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



"Пофиксите" в HijackThis только следующие строки (возможно их не будет):

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing)
O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Koldyn]

Прикрепляю логи

 

[Sandor]

Два антивируса не усиливают, а ослабляют защиту

Avira Security
McAfee Safe Connect
McAfee Security Scan Plus

Один оставьте, один деинсталлируйте.

Я бы удалил McAfee.

После чего перезагрузите компьютер и соберите ещё раз эти же логи.

 

[Koldyn]

Два антивируса не усиливают, а ослабляют защиту

Один оставьте, один деинсталлируйте.

Я бы удалил McAfee.

После чего перезагрузите компьютер и соберите ещё раз эти же логи.

McAfee удалил, а Avira у меня нету вроде, я этот антивирусник удалял давно, может быть что это какие то остаточные файлы?

 

[Sandor]

В перечне установленных программ она видна?

Avira Security
Avira Software Updater

Пуск - Панель управления - Удаление программ.

 

[Koldyn]

В перечне установленных программ она видна?

Пуск - Панель управления - Удаление программ.

была видна, но когда я попробовал удалить мне написало то что программы не было на пк

 

[Sandor]

Хорошо, переделайте логи FRST.txt и Addition.txt

 

[Koldyn]

прикрепляю логи

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S2 AviraOptimizerHost; "C:\Program Files (x86)\Avira\Optimizer Host\Avira.OptimizerHost.exe" [X]
  Avira Software Updater (HKLM-x32\...\{19BCD8D4-3F37-4C1F-B2D7-E4AC01220CB5}) (Version: 2.0.6.63582 - Avira Operations GmbH & Co. KG) Hidden
  AlternateDataStreams: C:\Users\1\AppData\Local\Temp:$DATA [16]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


В перечне установленных программ появится скрытая ранее

Avira Software Updater

Удалите её.

 

[Koldyn]

Прикрепляю лог

 

[Sandor]

Достаточно было один раз выполнить скрипт.
Удалили программу от Авиры?

 

[Koldyn]

Достаточно было один раз выполнить скрипт.
Удалили программу от Авиры?

да все вроде удалилось

 

[Sandor]

Хорошо, давайте дополнительно проверим так:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Koldyn]

Прикрепляю лог