Доброго времени суток, друзья. Я столкнулся с проблемой. Мой компьютер заражен майнером. Как ни странно, но он не блокирует CureIt. Я спокойно скачал его с почты, просканировал систему. Однако он не справляется с заразой. Вылечил и переместил несколько файлов, но, видимо, в системе стоит загрузчик и качает новые. Так что после каждой перезагрузки после сканирования, он находит новые. Попробовал скачивать другие антивирусы, но он блокирует запуск исполняемых файлов. Пожалуйста, помогите нубу одолеть напасть.
- Статус
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Если будет закрываться утилита, то запускайте в безопасном режиме
www.safezone.cc
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
Спасибо за отклик, akok. Я загрузился и пишу в безопасном режиме с подгрузкой сетевых драйверов, т.к. в обычном режиме майнер сильно грузит моё железо. Очень переживаю за него.Если будет закрываться утилита, то запускайте в безопасном режиме
Правила оформления запроса о помощи
FAQ Как оформить запрос о помощи в разделе лечения? Внимание! Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя. Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как...
Вложения
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
После в обычном режиме, но на другом диске
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Programdata\Microsoft\vcpyp\Game.exe', '');
QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe', '');
QuarantineFile('C:\ProgramData\ReaItekHD\taskhostw.exe', '');
QuarantineFile('C:\ProgramData\windowstask\amd.exe', '');
QuarantineFile('C:\ProgramData\windowstask\audiodg.exe', '');
QuarantineFile('C:\ProgramData\windowstask\microsofthost.exe', '');
DeleteFile('C:\Programdata\Microsoft\vcpyp\Game.exe', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe', '64');
DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe', '64');
DeleteFile('C:\ProgramData\windowstask\amd.exe', '32');
DeleteFile('C:\ProgramData\windowstask\audiodg.exe', '32');
DeleteFile('C:\ProgramData\windowstask\microsofthost.exe', '32');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OfficeCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\OnlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\SystemManager');
DeleteSchedulerTask('Microsoft\Windows\WindowsBackup\WinlogonCheck');
DeleteSchedulerTask('Microsoft\Windows\Wininet\1Hour');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', 'x64');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O7 - Policy: *\..\Policies\Explorer\DisallowRun: Fix all
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [12] = AVbr.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [13] = AV_br.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exeПосле в обычном режиме, но на другом диске
Скачайте, распакуйте (в подпапку) и запустите AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.
Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла
Я завершил все указанные вами операции. Ниже прикрепляю лог AVbr.
Есть нюансы:
1) Почему-то при запуске скрипта для логов карантина АВЗ тупо зависает. 7zip архив создаётся, но программа зависает намертво. То же самое касается HijackThis. Притом второй исправлений не внёс. Я почистил реестр вручную, ориентируясь по вашему скрипту для Hijack this.
2) Почему-то не могу отправить вам карантин АВЗ по форме. Вписываю свой ник, ссылку, прикрепляю 7z архив, но после клика по "Отправить" ничего не происходит.
Есть нюансы:
1) Почему-то при запуске скрипта для логов карантина АВЗ тупо зависает. 7zip архив создаётся, но программа зависает намертво. То же самое касается HijackThis. Притом второй исправлений не внёс. Я почистил реестр вручную, ориентируясь по вашему скрипту для Hijack this.
2) Почему-то не могу отправить вам карантин АВЗ по форме. Вписываю свой ник, ссылку, прикрепляю 7z архив, но после клика по "Отправить" ничего не происходит.
- Сообщения
- 3,885
- Реакции
- 2,432
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
- Сообщения
- 3,885
- Реакции
- 2,432
1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
Код:
Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:privacy-automaticfiledownloads;windowsdefender;gaming-broadcasting;gaming-gamebar;gaming-gamedvr;gaming-gamemode;gaming-trueplay;gaming-xboxnetworking;windowsinsider;windowsinsider-optin
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
HKU\S-1-5-20\...\Run: [OneDriveSetup] => C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup (Нет файла)
Task: {F016A018-9111-4204-A306-703967042CE9} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2928897730-3356108889-3082766209-500 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла)
Task: {8BBD7C8A-9BA5-4017-B02D-F0D85D581D44} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.7.0.1841\service_update.exe --repair (Нет файла)
2023-09-02 14:57 - 2023-09-02 14:57 - 000000000 __SHD C:\ProgramData\princeton-produce
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [TCP Query User{D5019A06-F5DC-4393-91B2-495F932A5F8F}C:\users\roon\downloads\sdi_r2201\sdi_x64_r2201.exe] => (Allow) C:\users\roon\downloads\sdi_r2201\sdi_x64_r2201.exe => Нет файла
FirewallRules: [UDP Query User{F5FD372B-B965-45F9-A68B-8094AFB843E2}C:\users\roon\downloads\sdi_r2201\sdi_x64_r2201.exe] => (Allow) C:\users\roon\downloads\sdi_r2201\sdi_x64_r2201.exe => Нет файла
FirewallRules: [{297BF46A-32F8-49ED-AD01-3E79681177D7}] => (Allow) C:\Users\Roon\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{C8CD529C-C796-47F1-B533-85A57627055F}] => (Allow) C:\Users\Roon\AppData\Local\Temp\utorrent\utorrent.exe => Нет файла
FirewallRules: [{AB512FD9-1680-49F6-BDBE-C732FAEE7B11}] => (Allow) C:\Users\Roon\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [{6B51EF6F-304B-47E9-B91A-8EBDF6B23E98}] => (Allow) C:\Users\Roon\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{A4FCDE04-7FBA-438E-B417-8E9EE321DBC6}D:\games\demonologist\shivers\binaries\win64\shivers-win64-shipping.exe] => (Allow) D:\games\demonologist\shivers\binaries\win64\shivers-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{68F72BFF-C9BA-427B-B42E-7EBBEE52D328}D:\games\demonologist\shivers\binaries\win64\shivers-win64-shipping.exe] => (Allow) D:\games\demonologist\shivers\binaries\win64\shivers-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{4F4CBDAA-AA26-4971-A184-4A59224DCB1A}D:\games\resident evil 4 remake\re4.exe] => (Allow) D:\games\resident evil 4 remake\re4.exe => Нет файла
FirewallRules: [UDP Query User{7304462C-D97D-4DA1-9344-6FDD4FEBA8AF}D:\games\resident evil 4 remake\re4.exe] => (Allow) D:\games\resident evil 4 remake\re4.exe => Нет файла
FirewallRules: [{27D3ED0C-0CBD-429D-91BD-7F8752228933}] => (Allow) C:\Users\Roon\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [{B659125A-982F-4024-83C5-FE37C6401D56}] => (Allow) C:\Users\Roon\AppData\Roaming\utorrent\uTorrent.exe => Нет файла
FirewallRules: [TCP Query User{EA6A3B95-A297-4105-A1AC-331F17985683}D:\games\diablo 4 reflection\transmission\transmission-daemon.exe] => (Allow) D:\games\diablo 4 reflection\transmission\transmission-daemon.exe => Нет файла
FirewallRules: [UDP Query User{8489E84C-CB8A-4F40-8E18-1700D1608BD1}D:\games\diablo 4 reflection\transmission\transmission-daemon.exe] => (Allow) D:\games\diablo 4 reflection\transmission\transmission-daemon.exe => Нет файла
FirewallRules: [TCP Query User{28E530AB-635C-4FEA-9540-DE8BF8A8E1E9}D:\games\diablo 4 reflection\d4r_enru\diablo iv.exe] => (Allow) D:\games\diablo 4 reflection\d4r_enru\diablo iv.exe => Нет файла
FirewallRules: [UDP Query User{154B7DAF-B7D5-4D3F-92A9-FE912D95F7E7}D:\games\diablo 4 reflection\d4r_enru\diablo iv.exe] => (Allow) D:\games\diablo 4 reflection\d4r_enru\diablo iv.exe => Нет файла
Reboot:
End::3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
- Обратите внимание: будет выполнена перезагрузка компьютера.
- Сообщения
- 3,885
- Реакции
- 2,432
Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
- Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
- Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
- Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
- Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
- Прикрепите этот файл в своем следующем сообщении.
- Статус
Похожие темы
- Закрыта
- Закрыта
