Решена Помощь с удалением майнера AMD.exe

[hren]

Здравствуйте. Поймал майнера AMD.exe. Попробовал провести лечение с помощью AV block remover. Файл майнера ,как подозреваю, был удален, но при этом нагрузка на ГП после запуска ПК под 90 процентов. Нужна помощь. Прикрепляю логи.

 

[hren]

Дополняю логами FRST

 

[Sandor]

Здравствуйте!

Для логов FRST пока рано.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\79503\AppData\Local\Programs\ivanovsasha224\171e39f49d.msi', '');
 QuarantineFile('C:\Users\79503\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteSchedulerTask('AdLock Update Task-S-1-5-21-3427056840-1945697845-3746097516-1003');
 DeleteFile('C:\Users\79503\AppData\Local\Programs\ivanovsasha224\171e39f49d.msi', '64');
 DeleteFile('C:\Users\79503\AppData\Local\Programs\Transmission\Qt5Core.dll', '');
 DeleteFileMask('c:\users\79503\appdata\local\programs\transmission', '*', false);
 DeleteDirectory('c:\users\79503\appdata\local\programs\transmission');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.


Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[hren]

Сделано

 

[Sandor]

Хорошо. Теперь удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[hren]

Сделано

 

[Sandor]

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Advanced SystemCare
Advanced SystemCare Pro
Atom
Bonjour
Driver Booster 10
Кнопка "Яндекс" на панели задач

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1001\...\MountPoints2: {203d7b2e-b41b-11ed-a3fc-3c7c3f1daee1} - "E:\setup.exe" 
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1001\...\MountPoints2: {32af0a2e-ea88-11ea-a1f6-40167e641316} - "F:\AutoRun.exe" 
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1001\...\MountPoints2: {d27f3a19-e7b1-11ea-a1eb-40167e641316} - "F:\AutoRun.exe" 
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1003\...\Run: [MediaGet2] => C:\Users\79503\MediaGet2\mediaget.exe --minimized (Нет файла)
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1003\...\Run: [toc] => C:\Users\79503\AppData\Roaming\toc\Ty1H.exe (Нет файла)
  GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  Task: {EAF17544-31B9-412C-8471-EAF5C2425C78} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe [4577360 2021-09-13] (IObit CO., LTD -> IObit)
  Task: {2841A66A-0B80-4972-A14D-E760880FD801} - System32\Tasks\Driver Booster Scheduler => C:\Program Files (x86)\IObit\Driver Booster\10.1.0\Scheduler.exe [157784 2022-10-26] (IObit CO., LTD -> IObit)
  Task: {A7578977-F907-470E-BAF2-8755E6C95580} - System32\Tasks\Driver Booster SkipUAC (Hren) => C:\Program Files (x86)\IObit\Driver Booster\10.1.0\DriverBooster.exe [9001448 2022-11-21] (IObit CO., LTD -> IObit)
  Task: {6EBC8634-5BFF-4802-8F54-2F4604D523FB} - System32\Tasks\Driver Booster Update => C:\Program Files (x86)\IObit\Driver Booster\10.1.0\AutoUpdate.exe [2516968 2022-11-14] (IObit CO., LTD -> IObit)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\Hren\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\ibknafobnmndicojahlppolcaaibngjf
  2023-06-27 20:16 C:\ProgramData\RDP Wrapper
  AdBlock Shield 1.0.0.0 (HKU\S-1-5-21-3427056840-1945697845-3746097516-1003\...\{84bb0eb8-baf8-47c4-87b6-324d615c5350}) (Version: 1.0.0.0 - ivanovsasha224) Hidden
  AlternateDataStreams: C:\Users\79503\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\79503\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9220]
  HKU\S-1-5-21-3427056840-1945697845-3746097516-1001\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  FirewallRules: [{021A50B7-C970-444D-BB01-569F8654D2F8}] => (Allow) C:\Users\79503\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{ADA1BAD6-C888-4F1E-9550-96F6D2CFFAA7}] => (Allow) C:\Users\79503\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{D3382C74-8BFF-41AB-BEE5-A4791FBA171E}] => (Allow) C:\Users\79503\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{7D6A9180-C248-4EE1-AE61-1F59F7F1DE15}] => (Allow) C:\Users\79503\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{6E738782-02C4-4FD0-9712-FA1E2C9180EE}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{3655905E-3A87-4B16-8911-BAC1B523EF19}] => (Allow) C:\Program Files (x86)\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{06C8850F-6317-4FE4-AF5C-4C07388D7F49}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{D4C7F97B-1FEF-4991-B227-E95F592A2921}] => (Allow) C:\Program Files\Bonjour\mDNSResponder.exe (Apple Inc. -> Apple Inc.)
  FirewallRules: [{81BA779E-405F-441A-A6DD-D2F80CA74F98}] => (Allow) LPort=49152
  FirewallRules: [{79B42D3F-25E4-4F85-A1D0-B29CE1A18C74}] => (Block) LPort=7777
  FirewallRules: [{1A29CA7F-1C9A-41AA-A2C4-DD666D86ACC1}] => (Allow) D:\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{CA85DA7B-B84D-46DD-8E1A-1B8868C4E7FA}] => (Allow) D:\360\Total Security\360TsLiveUpd.exe => Нет файла
  FirewallRules: [{E1BF29D4-0E74-49C6-B994-F8F3BC0FB05B}] => (Allow) 㩃啜敳獲㝜㔹㌰䅜灰慄慴剜慯業杮瑜捯䑜兵䝩攮數 => Нет файла
  FirewallRules: [{0CC9D717-F3EC-40A4-B46E-60F7E2028674}] => (Allow) 㩃啜敳獲㝜㔹㌰䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{7CB86EC5-FDF3-4628-81D7-F975AB0CD984}] => (Allow) 㩃啜敳獲㝜㔹㌰䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{F15EE237-ABCE-4453-821D-C4CEE0B0D2EF}] => (Allow) 㩃啜敳獲㝜㔹㌰䅜灰慄慴剜慯業杮瑜捯呜ㅹ⹈硥e => Нет файла
  FirewallRules: [{A94F60A1-C9E0-4FDD-9C99-EEC06649581B}] => (Allow) LPort=27030
  FirewallRules: [{C4B534C6-C56B-401D-868C-898076BC1874}] => (Allow) LPort=27030
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

В перечне установленных программ появится скрытая ранее

AdBlock Shield 1.0.0.0

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller

 

[Sandor]

@hren, получилось выполнить скрипт и удаление?

 

[Sandor]

Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что наша помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!