Решена Помощь с устранением майнера на компьютере

T

tekken1671q

Новый пользователь
Сообщения
13
Реакции
0
Добрый день ! Заметил что стал греться ноутбук, после открывания диспетчера задач остывал. Начал углубляться в пробелу, нашел нового админа у себя в ноутбуке john. Полез в инет, узнал про этого майнреа, вначале пытался почистить dr webом, но неудачно. После отрыл другой комп дома и так же увидел этого пользователя. То есть у меня два компа и оба заражены, на одном он уже походу давно. Помогите, и ответьте пожалуйста. 1) Мог ли этот майнер как то попасть на комп который связан общей почтой (рабочий который находится в офисе). 2) может ли эта гадость как то попасть на телефон ? 3) Общие пароли, доступ к данным (в том числе и банковским ) в опасность ? Помогите ! СПАСИБО!
 
Пытался запустить AutoLogger, но после открывания браузера он вырубается. Что делать ?
 
Пробуйте в безопасном режиме
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код: 
  begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('Microsoft Framework', 4);
 QuarantineFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
 QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\appmodule.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
 QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
 QuarantineFile('C:\Windows\System32\unsecapp.exe', '');
 DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\appmodule.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
 DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
 DeleteFile('C:\Windows\System32\unsecapp.exe', '64');
 DeleteService('Microsoft Framework');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\RealtekCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\TaskCheck');
 DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
BC_ImportALL;
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O7 - AppLocker: Fix all (including policies)
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Policies\Microsoft\Windows Defender: [DisableAntiVirus] = 1

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Addition.txt забыли
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender
HKLM\...\Policies\Explorer: [HideSCAMeetNow] 1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2797388908-3971233800-922734154-1007\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2797388908-3971233800-922734154-1008\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
2023-04-23 22:44 - 2023-01-09 00:12 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-04-23 22:44 - 2023-01-09 00:12 - 000000000 __SHD C:\ProgramData\ReaItekHD
2023-04-23 22:44 - 2023-01-09 00:12 - 000000000 ___HD C:\Program Files\RDP Wrapper
Hosts:
FirewallRules: [{DC3C7FF7-D01E-4B6E-9CAA-3F61CAD9CE50}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CC639000-DA22-4A86-95A1-F4D7E9BDCB6D}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{0F108FEC-43D9-475A-8CC5-2340A1DF2835}] => (Block) LPort=445
FirewallRules: [{267FBEE7-8AE0-43C5-A098-E16AEEC1720E}] => (Block) LPort=445
FirewallRules: [{B91B969A-53F6-4297-BF73-C2BB9E06CD1F}] => (Block) LPort=139
FirewallRules: [{8BF1FE76-5DD5-4F5A-A35D-1D00F87A0F89}] => (Block) LPort=139
FirewallRules: [{A5527A3C-B625-4366-AA36-A1D46EEF0B21}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
FirewallRules: [{D7A96EC3-B406-4305-8161-E8DCCD889831}] => (Allow) LPort=3389
FirewallRules: [{7888F5C2-8244-4827-B92A-868ECF076072}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{F8EF8198-15AE-4E8B-B282-0301DAB41B03}] => (Allow) C:\Users\Tekken1671\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
  • Like
Реакции: akok
Подготовьте свежие логи FRST, посмотрим, что осталось. Как система поживает?
 
Все отлично) дисп не закрывает, сайты работают нормально. Проц вроде без нагрузки.
 
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

CLoVil
Решена Не могу удалить 2 процесса (rsEngineSvc.exe, rsWSC.exe) , которые появились после скачивания торрента с трояном (удалил его через Dr.web).Прошу помощь
Ответы
12
Просмотры
306
CLoVil
CLoVil
K
Решена без расшифровки Помощь в расшифровке.
Ответы
6
Просмотры
140
kop_1971
K
K
Закрыто Нужна помощь в расшифровке компьютера, paytogive@zohomail.eu
Ответы
6
Просмотры
275
Klop
K
Назад
Сверху Снизу